前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >邮件形同裸奔,PGP与S/MIME加密协议被曝严重漏洞

邮件形同裸奔,PGP与S/MIME加密协议被曝严重漏洞

作者头像
FB客服
发布2018-07-30 12:01:38
1.2K0
发布2018-07-30 12:01:38
举报
文章被收录于专栏:FreeBuf

由9名学者组成的团队向全世界发出警告,OpenPGP和S / MIME电子邮件加密工具中的严重漏洞。该研究小组称,这个代号为EFAIL的漏洞如果被利用,将允许攻击者从发送或接收的消息中提取明文内容。

“他们可能会透露加密电子邮件的明文,包括过去发送的加密电子邮件,”研究人员说。“目前没有可靠的漏洞修复。”

Pretty Good Privacy是用于加密电子邮件的开源端对端加密标准,而S / MIME(安全/多用途Internet邮件扩展)是一种基于非对称加密技术的技术,允许用户发送经过数字签名和加密的电子邮件。

Electronic Frontier Foundation(EFF)的研究人员也证实了这些漏洞的存在,他们建议用户卸载Pretty Good Privacy和S / MIME应用程序,直到发布修复补丁为止。

专家们披露了两种被称为EFAIL的攻击变体 ,在这两种情况下,黑客需要处于加密电子邮件拦截的位置,例如黑客攻击目标电子邮件账户或进行中间人攻击(MitM)。

“EFAIL攻击利用OpenPGP和S / MIME标准中的漏洞揭示加密电子邮件的明文。简而言之,EFAIL滥用HTML电子邮件的活动内容,例如外部加载的图像或样式,通过请求URL来渗透明文。“研究人员发表的博客文章中称。

“要创建这些渗透通道,攻击者首先需要访问加密的电子邮件,例如通过窃听网络流量,攻击电子邮件帐户、电子邮件服务器、备份系统或客户端。这些电子邮件甚至可能是在几年前收集的。“

攻击者操纵受保护电子邮件中的密文,并将包含自定义HTML代码的修改消息发送给原始接收者或发件人。

第一种被称为直接渗透的攻击技术,利用Apple Mail(针对iOS和MacOS)和Mozilla Thunderbird电子邮件客户端的漏洞。攻击者向目标用户发送一封特制电子邮件,当受害者的客户端打开并解密电子邮件时,攻击者的代码会导致应用程序将文本发送到攻击者控制的服务器,并且不会告知受害者。

直接渗滤技术可用于PGP和S / MIME。

第二种技术称为CBC / CFB小工具攻击,利用OpenPGP(CVE-2017-17688)和S / MIME(CVE-2017-17689)中的漏洞。在攻击场景中,受害者需要拥有他们的私钥,如果私钥丢失,则不能使用这些技术。

黑客将操纵的电子邮件发送给原始接收者之一或者原始发件人,新的FROM,DATE和SUBJECT字段来隐藏它,并且他可以通过隐藏操作的密文,将其隐藏在不可见的iFrame内。因此,受害者接收到攻击邮件并不会产生怀疑。

一旦受害者打开攻击邮件,被操纵的密文将被解密,同时包含一个泄露通道(如HTML超链接),将解密的铭文发送给攻击者。

CBC / CFB小工具攻击对PGP有效,研究人员观察到成功率为33%。测试结果显示,EFAIL攻击对35个测试S / MIME电子邮件客户端中的25个有效,28个测试OpenPGP客户端中的10个受到影响。

虽然有必要改变OpenPGP和S / MIME标准,以可靠地修复这些漏洞,但Apple Mail,iOS Mail和Mozilla Thunderbird的执行漏洞更严重,允许直接透露纯文本,这在技术上很容易执行。

许多安全专家低估了EFAIL攻击技术的重要性,并解释说这些攻击只能针对有问题的电子邮件客户端。

关于EFAIL 漏洞的详细细节,可以查看:https://efail.de/

*参考来源:securityaffairsbleepingcomputer,由Andy.i编译,转载请注明来自FreeBuf.COM

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2018-05-16,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 FreeBuf 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
漏洞治理服务
漏洞治理服务(Vulnerability Governance Services,VGS),是指腾讯云为您提供的面向各种软硬件系统已知或未知漏洞的情报监测及漏洞修复相关能力,通过对全网一手漏洞渠道进行持续监测、研判及分析,帮助企业及时识别互联网上的最新漏洞威胁,并提供基于VPT的修复研判能力,帮助识别企业资产风险,为漏洞修复提供更宽松的时间窗口,保障业务安全。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档