Akademisyenler, güvenlik açıklarının yıllar önce gönderilenler de dahil olmak üzere, şifreli e-postaların düz metnini açığa çıkarabileceğini söylüyor.
Alman ve Belçikalı sekiz akademisyenden oluşan bir ekip yaygın olarak kullanılan OpenPGP ve S / MIME e-posta şifreleme p rotokollerinin, şifreli mesajların düz metnini saldırganlara maruz bırakabilecek “EFAIL” adını verdikleri zayıflıklarını ortaya çıkardı.
“Özetle, EFAIL, harici olarak yüklenen resimler veya stiller gibi HTML e-postalarının aktif içeriğini istismar ederek, istenen url'leri kullanarak düz metinleri açığa çıkarabiliyor. Araştırmacılar, bulgularını web sitelerinde yayınladılar. Güvenlik açıklarının iki türü mevcut ve “Efail” başlıklı bir teknik makalede ayrıntılı olarak anlatılıyor: Exfiltrasyon Kanallarını Kullanarak S / MIME ve OpenPGP E-posta Şifrelemesini Kırmak”.
Zayıflıkları sömürmek için, saldırganların öncelikle uçtan uca şifrelenmiş e-posta mesajına erişmeleri gerekir. Bu, ele geçirilmiş bir e-posta hesabından, istemci bilgisayarından veya yedekleme sisteminden transferi sırasında araya girmek veya çalmak ile mümkün olur. Ardından, saldırganların kendisine özel HTML kodu ekleyerek e-postayı değiştirmeleri ve manipüle edilen e-postayı kurbana göndermeleri gerekir. Mağdurun e-posta istemcisi e-postanın şifresini çözer ve istemcinin HTML okuma yeteneği kötü amaçlı kod tarafından e-postaların tam düz metninin saldırganlara göndermesiyle kandırılır. Yıllar önce gönderilen mesajlar bile savunmasızdır.
Ekip ayrıca, kavram kanıtı testlerinin 35 S / MIME e-posta istemcisinden 25 tanesine ve 28 OpenPGP istemcisinden 10 tanesine karşı başarılı olduğunu gösterdi. Açıklar, Apple Mail, GPGTools şifreleme eklentisi, Enigmail eklentisi olan Mozilla Thunderbird ve Gpg4win şifreleme paketiyle Outlook gibi e-posta uygulamalarını etkiliyor. Akademisyenler, sorumlu açıklama ilkelerine uygun olarak, bulgularını ilgili e-posta sağlayıcılarına rapor ettiklerini söyledi.
Ayrıca, bu kusurlar için güvenilir bir çözüm bulunmadığını ve kısa, orta ve uzun vadeli hafifletme stratejileri tavsiye ettiklerini de belirttiler. Kısa vadeli eylemler, e-posta istemcisinden ziyade ayrı bir uygulamada e-postaların şifrelenmesini ve HTML görüntüleri veya stilleri gibi uzak içeriğin oluşturulmasının devre dışı bırakılmasını içerir. Orta ve uzun vadeli düzeltmeler için sırasıyla, akademisyenler yazılım açıklarının yamanması ve standartların güncellenmesi gerektiğini söyledi.
ABD merkezli bir dijital haklar grubu olan Electronic Frontier Foundation (EFF), araştırmacıların bulgularını yayınlanmadan önce gözden geçirmişti. Pazar günü, büyük ölçüde araştırmacıların tavsiyesini yansıttığı bir dizi açıklama ve yönerge yayınladı. Kullanıcılar, güvenlik açıkları kapatılana kadar e-posta istemcilerinde PGP eklentilerini devre dışı bırakmalı veya kaldırmalıdır. Aynı kusurları kurumsal e-posta ağlarında yaygın olan S / MIME yi de, etkilediğinden, EFF “bu belirsizlik döneminde”, kullanıcıların güvenli iletişimin alternatif yöntemlere geçmesini önerdi.
Bozulan şifreleme ve ambargo
Araştırma sonuçlarının yayınlanmasından öncebile büyük bir ilgi topladı. Araştırmacılar başlangıçta, açıkların Salı günü yayınlanan bir makalede ayrıntılı olarak açıklanacağını anlatan bir “teaser” yayınladı. Ancak, ambargo pazartesi günü kırıldı ve araştırmacıların bulgularını planladıkları tarihten önce kamuoyuna sunmaları istendi.
Bu arada, bulgular, tehdidin aslında ne kadar gerçek olduğu konusunda bazı tartışmalara neden oldu. Örneğin Enigmail'den Robert J. Hansen, alarm zillerini “bir bardak suda fırtına koparmak” olarak tanımladı.
Benzer bir şekilde, OpenPGP'nin bir uygulaması olan GNU Privacy Guard'ın (GnuPG / GPG) kurucusu Werner Koch, “abartılıyor” olarak tanımladı.
Aslında, GnuPG'ye göre sorun başka yerde. “Şifre çözme hatalarını doğru şekilde kontrol etmeyen ve HTML postalarındaki bağlantıları takip eden bazı eposta istemcileri bulmuşlar. Bu nedenle güvenlik açığı aslında protokollerde değil, eposta istemcilerinde. GnuPG, "Aslında, OpenPGP doğru kullanıldığında bağışıktır, S / MIME'nin ise dağıtılmış bir etkisi yoktur” diye tweet attı.
ProtonMail yaptığı açıklamada, şifreli e-posta hizmetinin kusurlardan etkilenmediğini ve “bir küçük istisnanın” ötesinde, güvenlik açıklarının aslında PGP'nin kendisinde bulunmadığını söyledi. Buna ek olarak, e-posta sağlayıcısı PGP geliştirici topluluğunun 1999'dan beri bazı Efail güvenlik açıklarından haberdar olduğunu da söyledi. Açıklamaları, “Efail'in yazarlarının yaptıkları sadece PGP uygulamalarında hatalara sahip PGP istemcilerinin bir listesini oluşturmak.” diye devam ediyor. Bununla birlikte şirket, güvenli PGP uygulamalarının kullanımını tavsiye etti.
Johns Hopkins Üniversitesinden, Kriptoloji Uzmanı Profesör Matthew Green, bu istismarın, eposta istemcisi üreticilerinin umursamazlığı ile kötü şifrelemenin bir araya gelmesinden faydalanan mükemmel düşünülmüş bir saldırı olduğunu söyledi
Kriptografi uzmanı Bruce Schneier, “Güvenlik açığının doğrudan PGP ya da S / MIME ile ilgili olmadığı, modern e-posta programlarının bu protokolleri kullandığı sırada oluştuğu fikrinden yana ağırlığını koydu.