HTML-gjengivelsesfeil som ble oppdaget i Apple Mail for iOS og macOS ble detaljert i morges, slik at skruppelløse angripere kan hente dekryptert ren tekst fra de krypterte e-postene dine.
Datasikkerhetsprofessor Sebastian Schinzel publiserte i går en forskningsartikkel om denne sårbarheten kalt EFAIL.
Hva handler denne sårbarheten om?
I et nøtteskall tillater dette sikkerhetsproblemet en angriper å avsløre ren tekst på noens krypterte e-postmeldinger uten å ha behov for avsenderens private krypteringsnøkler, inkludert krypterte e-poster sendt tidligere. For at angrepet skal fungere, må en uærlig part være i besittelse av dine krypterte S / MIME- eller PGP-e-poster.
Det innebærer å bruke en spesiallaget bildekode sammen med en streng kryptert tekst. Kombinasjonen får Apple Mail for iOS og macOS til å dekryptere innholdet i krypterte meldinger. Åpning av en kryptert e-post ber klienten om å laste det spesifiserte bildet fra et domene som er kontrollert av en angriper, som lar dem skaffe kopier av dekrypterte meldinger..
Dette problemet berører også brukere av Mozillas Thunderbird-e-postklient.
Hvor alvorlig er det?
Benjamin Mayo diskuterer potensielle konsekvenser av denne feilen:
Angrepet er avhengig av å kontakte den samme personen som sendte den krypterte e-posten i utgangspunktet. Det er ikke mulig å sende e-post til noen fra det blå og få en server til å motta en strøm av dekryptert innhold. Potensialet for kompromittert kommunikasjon øker hvis e-posten er en del av en gruppesamtale da angriperen bare trenger å målrette seg mot en person i kjeden for å trekke av dekrypteringen.
I tillegg til HTML-gjengivelsesproblemet, la forskerne også ut en mer teknisk utnyttelse av selve S / MIME-standardspesifikasjonen som påvirker tjuetalls kunder i tillegg til Apples. Langsiktig og omfattende oppdatering av dette spesielle sikkerhetsproblemet vil kreve en oppdatering av de underliggende e-postkrypteringsstandardene.
Electronic Frontier Foundation veide inn og sa:
EFF har vært i kommunikasjon med forskerteamet, og kan bekrefte at disse sårbarhetene utgjør en umiddelbar risiko for de som bruker disse verktøyene for e-postkommunikasjon, inkludert potensiell eksponering av innholdet i tidligere meldinger.
Denne feilen berører bare personer som bruker PGP / GPG og S / MIME e-postkrypteringsprogramvare som gjør meldinger uleselige uten en krypteringsnøkkel. Forretningsbrukere er ofte avhengige av kryptering for å forhindre avlytting av e-postkommunikasjonen deres.
Mest e-post sendes imidlertid ukryptert.
Hvordan du kan beskytte deg selv
En midlertidig løsning: fjern GPGTools / GPGMail-krypteringspluggen fra Apples Mail på macOS (papirkurven GPGMail.mailbundle fra / Library / Mail / Bundles eller ~ / Library / Mail / Bundles).
Som et mer ekstremt tiltak kan du deaktivere henting av innhold: veksle “Last inn eksternt innhold i meldinger” i Mail for macOS-preferanser og Last inn eksterne bilder i Mail for iOS.
Apple vil sannsynligvis utstede en nødretting for denne alvorlige feilen, så følg med og se på denne plassen mens vi lover å holde deg i loopen.
I mellomtiden, la oss få vite hva du synes om dette nyoppdagede sårbarheten i Apple Mail og andre e-postklienter ved å legge igjen en kommentar nedenfor.
