Новости

Уязвимости в OpenPGP и S/MIME ставят под угрозу конфиденциальность переписки

15.05.2018
Уязвимости в OpenPGP и S/MIME ставят под угрозу конфиденциальность переписки

14.05.2018 группа исследователей из Мюнстерского университета прикладных наук, Рурского университета в Бохуме (Германия) и Лёвенского университета (Бельгия) сообщила об обнаружении уязвимостей в стандартах шифрования электронной почты OpenPGP и S/MIME, позволяющих злоумышленнику получить доступ к тексту зашифрованных писем.

Уязвимости (CVE-2017-17688 для OpenPGP и CVE-2017-17689 для S/MIME) получили название «eFail». Для реализации атаки злоумышленник должен сначала получить доступ к зашифрованным сообщениям жертвы, например, посредством перехвата сетевого трафика, компрометации учетной записи почты, доступа к почтовому серверу или к системе резервного копирования. Затем злоумышленник модифицирует перехваченное зашифрованное сообщение путем добавления внешнего HTML-контента (ссылки на изображение или HTML-стили) и перенаправляет его жертве. Почтовый клиент жертвы расшифровывает модифицированное сообщение и пытается загрузить внешний контент, подставляя к заданной злоумышленником ссылке текст расшифрованного сообщения. Таким образом злоумышленник получает доступ к расшифрованному тексту.

Эксперты приводят следующие рекомендации по минимизации угрозы, связанной с эксплуатацией указанных уязвимостей:

  • расшифровывать почту в отдельном приложении за пределами почтового клиента;
  • отключить отображение входящих HTML-сообщений в почтовом клиенте (HTML-рендеринг);
  • отключить загрузку удаленного контента;
  • обновить версии почтовых клиентов.