邮件形同裸奔,PGP 与 S/MIME 加密协议被曝严重漏洞

2018年05月16日 14:57 184

由9名学者组成的团队向全世界发出警告,OpenPGP和S / MIME电子邮件加密工具中的严重漏洞。该研究小组称,这个代号为EFAIL的漏洞如果被利用,将允许攻击者从发送或接收的消息中提取明文内容。


“他们可能会透露加密电子邮件的明文,包括过去发送的加密电子邮件,”研究人员说。“目前没有可靠的漏洞修复。”



Pretty Good Privacy是用于加密电子邮件的开源端对端加密标准,而S / MIME(安全/多用途Internet邮件扩展)是一种基于非对称加密技术的技术,允许用户发送经过数字签名和加密的电子邮件。

Electronic Frontier Foundation(EFF)的研究人员也证实了这些漏洞的存在,他们建议用户卸载Pretty Good Privacy和S / MIME应用程序,直到发布修复补丁为止。


专家们披露了两种被称为EFAIL的攻击变体  ,在这两种情况下,黑客需要处于加密电子邮件拦截的位置,例如黑客攻击目标电子邮件账户或进行中间人攻击(MitM)。

“EFAIL攻击利用OpenPGP和S / MIME标准中的漏洞揭示加密电子邮件的明文。简而言之,EFAIL滥用HTML电子邮件的活动内容,例如外部加载的图像或样式,通过请求URL来渗透明文。“研究人员发表的博客文章中称。

“要创建这些渗透通道,攻击者首先需要访问加密的电子邮件,例如通过窃听网络流量,攻击电子邮件帐户、电子邮件服务器、备份系统或客户端。这些电子邮件甚至可能是在几年前收集的。“

攻击者操纵受保护电子邮件中的密文,并将包含自定义HTML代码的修改消息发送给原始接收者或发件人。



第一种被称为直接渗透的攻击技术,利用Apple Mail(针对iOS和MacOS)和Mozilla Thunderbird电子邮件客户端的漏洞。攻击者向目标用户发送一封特制电子邮件,当受害者的客户端打开并解密电子邮件时,攻击者的代码会导致应用程序将文本发送到攻击者控制的服务器,并且不会告知受害者。


直接渗滤技术可用于PGP和S / MIME。


第二种技术称为CBC / CFB小工具攻击,利用OpenPGP(CVE-2017-17688)和S / MIME(CVE-2017-17689)中的漏洞。在攻击场景中,受害者需要拥有他们的私钥,如果私钥丢失,则不能使用这些技术。

黑客将操纵的电子邮件发送给原始接收者之一或者原始发件人,新的FROM,DATE和SUBJECT字段来隐藏它,并且他可以通过隐藏操作的密文,将其隐藏在不可见的iFrame内。因此,受害者接收到攻击邮件并不会产生怀疑。

一旦受害者打开攻击邮件,被操纵的密文将被解密,同时包含一个泄露通道(如HTML超链接),将解密的铭文发送给攻击者。



CBC / CFB小工具攻击对PGP有效,研究人员观察到成功率为33%。测试结果显示,EFAIL攻击对35个测试S / MIME电子邮件客户端中的25个有效,28个测试OpenPGP客户端中的10个受到影响。

虽然有必要改变OpenPGP和S / MIME标准,以可靠地修复这些漏洞,但Apple Mail,iOS Mail和Mozilla Thunderbird的执行漏洞更严重,允许直接透露纯文本,这在技术上很容易执行。

许多安全专家低估了EFAIL攻击技术的重要性,并解释说这些攻击只能针对有问题的电子邮件客户端。


关于EFAIL 漏洞的详细细节,可以查看:https://efail.de/ 


本文转载自FreeBuf.COM


阿里聚安全

阿里聚安全(http://jaq.alibaba.com)由阿里巴巴安全部出品,面向企业和开发者提供互联网业务安全解决方案,全面覆盖移动安全、数据风控、内容安全、实人认证等维度,并在业界率先提出“以业务为中心的安全”,赋能生态,与行业共享阿里巴巴集团多年沉淀的专业安全能力。


标签

  • 短信
  • 积分兑换
  • 仿冒应用
  • 漏洞分析
  • 漏洞预警
  • 年度报告
  • 安全报告
  • 病毒分析
  • 阿里聚安全
应用更安全,用户更放心! 立即登录