Европейски изследователи по сигурността откриха нови уязвимости в протоколите за криптиране на имейли. Хакерската атака, извършена от изследователите, позволява вграждане на зловреден код в прихванати имейли и заобикаляне на протокола за криптиране. Зловреден код позволява на хакерите да откраднат цялата информация от съобщенията, които се намират в папката "Входящи".
Уязвимостта засяга два от най-разпространените протоколи за криптиране на имейл, PGP и S/MIME. Тенденцията на уязвимостта да върви направо зависи от степента на прилагане на защита с помощта на протоколи. Много пощенски кутии вече са уязвими, включително Apple Mail, приложението Mail за iOS и Mozilla Thunderbird. Трябва да се отбележи, че много системи за удостоверяване на съобщения могат ефективно да блокират атаката.
Прочетете също: Емулаторът на Chrome OS вече е наличен в Android Студио
Ако шифрован имейл бъде прихванат по време на пренос, нападателят може да използва уязвимост на имейл и да добави злонамерен HTML код към имейла. Когато жертвата отвори имейла, злонамереният код може да се използва за изпращане на текста обратно.
Прочетете също: Слухове за нов Huawei Гледайте 2 (2018)
Много корпоративни сървъри вече използват S/MIME криптиране, така че уязвимостта представлява сериозен риск за доставчиците на @mail услуги.
От практическа гледна точка обаче урокът е следният: няма такова нещо като „теоретична уязвимост“. Има уязвимости, които могат да се използват, и уязвимости, които все още не са използвани. Трябва да изградим системи, като това, което осъзнаваме. 16/16
- Матю Грийн (@matthew_d_green) Май 14, 2018
Себастиан Шинцел, професор в Университета за приложни науки в Мюнстер, описа проблема в Twitter и предупреди, че „в момента няма начин да се коригира тази уязвимост“. Професорът препоръчва доставчиците на услуги да деактивират криптирането на данни с помощта на PGP, S/MIME и да използват други. Electronic Frontier Foundation нарича метода на професора „временна, консервативна мярка“, докато изследователите успеят да намерят начин да коригират уязвимостта.
Dzherelo: theverge.com