Tesztek Android Google Apple Microsoft Samsung Huawei Nokia Linux Biztonság Tudomány Facebook Film
/ContentUploads/N7032/efail.jpg

Ez a lényege a nagy EFAIL e‑mail sebezhetőségnek

2018.05.15. 10.23
Szinte bombaként robbant a hír, miszerint súlyos sérülékenységet találtak az OpenPGP és S/MIME megoldásokkal titkosított e-mailek biztonságában. A sebezhetőség ráadásul még a kevésbé szakavatottak számára is érdekes lehet, ugyanis egy nagyon egyszerű módszerrel érnek el látványos eredményt.

A probléma



Az e-mailek kód szinten tartalomblokkokból állnak. Az OpenPGP és S/MIME megoldásokkal titkosított e-mailekben vannak cleartext, tehát bárki számára olvasható, titkosítatlan blokkok és vannak titkosított blokkok is. Tehát a hálózaton figyelő támadó ugyan elkaphatja az e-mailt, aminek egy részét értelmezheti is, viszont a maradék (a lényege) titkos marad előtte is.

Ugyanakkor a kommunikációba közbeékelődő (MitM) támadó módosíthatja is a titkosítatlan részt – megteheti, hogy saját tartalmat, például webes HTML elemet ad hozzá a levélhez.

A frissen felfedezett, EFAIL névre keresztelt sebezhetőség is erre alapoz, ugyanis a támadás során elég a titkosított rész elé és után tenni egy HTML img vagy style (tehát webes, dinamikusan betöltődő) elemet, majd továbbküldeni az igazi címzett számára.







A címzett levelezőkliense először dekódolja, visszafejti a titkosított részt, majd utána elindítja a HTML megjelenítést, ami során a kliens megpróbálja betölteni a támadó által hozzáadott képet is. Mivel a hozzáadott kép URL-je a támadó saját szerverével kezdődik, a kliens erről próbál meg egy képet betölteni. Ugyanakkor a HTML elem URL paramétere szándékosan nincs lezárva, tehát a kliens azt hiszi, hogy a már visszafejtett tartalom is a webcímhez tartozik. Így szerverkérésként az eredetileg titkos, de a HTML megjelenítés során már visszafejtett tartalmakat is elküldi a támadó szerverének.

Ennyi, ilyen egyszerű…


Kiket érint a probléma?



Ez a sebezhetőség kizárólag azokat érinti, akik saját titkosító kulccsal, valamint OpenPGP és S/MIME titkosítással védik az e-mailes kommunikációjukat. Mivel a tesztek során az e-mail kliensek jelentős része elvérzett, nyugodtan kijelenthető, hogy az érintettek többsége jelenleg védtelen a sérülékenységgel szemben.


Mi a megoldás?



A legkézenfekvőbb megoldás, hogy ne használjunk OpenPGP-t és S/MIME-t a leveleink titkosítására, de tekintettel arra, hogy a sebezhetőség elsősorban HTML-alapú, egyszerűbb, ha a titkosítottan kommunikáló felek letiltják a HTML levelek írását és megjelenítését(!) a kliensükben.


További részletek: efail.de