Bezpečnost | Malware | E-mail

Šifrujete e-maily pomocí OpenPGP nebo S/MIME? Pozor, experti z Německa a Belgie v nich našli vážnou chybu

Používáte technologii pro end-to-end šifrování e-mailů OpenPGP nebo S/MIME? Tak to pozor, experti z německého Münsteru, Biochumu a belgického Leuvenu totiž publikovali studii (PDF) o nové zranitelnosti, které dali jméno EFAIL.

Princip je relativně jednoduchý. Pokud se útočník nějakým způsobem dostane k zašifrovanému textu e-mailu (odposlechem na síti, průnikem do PC apod.), dokáže získat jeho rozšifrovanou podobu a to aniž by znal klíč.

Klepněte pro větší obrázekKlepněte pro větší obrázek
Útočník nejprve získá zašifrované verze e-mailů a znovu je pošle oběti. Tentokrát jsou však trošku pozměněné a sám poštovní klient při zpracovávání předá útočníkovi dešifrovanou podobu.

Stačí, když takto zašifrovaný e-mail v upravené podobě odešle zpět oběti, jejíž poštovní klient zprávu dešifruje a text sám předá útočníkovi. Jak? E-mail totiž bude rozdělený do několika částí formátu multipart.

Na začátku bude HTML kód s obrázkem, přičemž v jeho parametru SRC začne šifrovaná část. Vše opět uzavře HTML kód, který ukončí značku IMG pro obrázek. Poštovní klient s šifrovacím doplňkem tedy nejprve dešifruje zprávu a pak ji vloží jako URL obrázku v oné HTML části. Na závěr konečně vykreslí HTML kód a tím dojde k odeslání dešifrované čísti na server útočníka, protože se zpracuje značka obrázku.

Klepněte pro větší obrázek
Zdrojový kód zákeřného e-mailu, který se skládá z několika částí. Vnějšího HTML a původní zašifrované části. Pošťák tuto část dešifruje a díky značce IMG a jejímu parametru SRC předá útočníkovi.

Experti radí, aby uživatelé, kteří používají šifrování PGP a S/MIME přímo v poštovním klientu, do vyřešení problému dešifrovali e-maily v externí aplikaci, případně zablokovali vykreslování HTML v poštovním klientu.

Klepněte pro větší obrázek
Klepněte pro větší obrázek
Dešifrovaný text se vloží do parametru SRC a při zpracovávání HTML se jako požadavek HTTP GET dostane na server záškodníka

Technika zneužívání načítání vzdálených obrázků nicméně není nikterak nová a jedná se o jednu z cest, jak do počítače oběti dostat malware (namísto regulérního obrázku se stáhne a načte virus). Proto mnohé klienty ve výchozím stavu obrázky nenačítají a vyžadují explicitní povolení uživatele.

Diskuze (10) Další článek: Apple se snaží o rychlý přechod na nový typ výroby hliníku, při které nevznikají skleníkové plyny

Témata článku: Bezpečnost, Malware, Německo, E-mail, Šifrování, PDF, Vyřešení problému, HTML, Výchozí stav, HTTP Get, NEM, Belgie, Upravená podoba, Expert, Vážná chyba, Leuven, Odeslání, Obrázek, Pc apod, Klient, Zneužívání, Externí aplikace, SRC, HTML kód, Parametr


Určitě si přečtěte

Pojďme programovat elektroniku: České chytré zásuvky Netio pro kutily i firmy

Pojďme programovat elektroniku: České chytré zásuvky Netio pro kutily i firmy

** Wi-Fi zásuvky nevyrábí pouze Čína ** Vyzkoušeli jsme českou Netio PowerCable ** Je přímo určená pro vývojáře, má totiž jednoduché JSON API

Jakub Čížek | 43

Jak doma vylepšit signál Wi-Fi: Pomůže repeater, více routerů, ale nejlépe systémy mesh

Jak doma vylepšit signál Wi-Fi: Pomůže repeater, více routerů, ale nejlépe systémy mesh

** Máte špatný signál Wi-Fi? Mesh systémy to vyřeší ** Už vás nezruinují, meziročně ceny příjemně spadly ** Jak systém funguje a čím je výjimečný?

Jiří Kuruc | 107

Vyzkoušeli jsme chytrou čínskou zásuvku Sonoff S26 za tři stovky. Nevyhořeli jsme

Vyzkoušeli jsme chytrou čínskou zásuvku Sonoff S26 za tři stovky. Nevyhořeli jsme

** Je sice z Aliexpressu, ale funguje ** Můžete ji ovládat hlasem přes Amazon Echo nebo Google Home ** Za tři stovky zautomatizuje menší 230V spotřebič

Jakub Čížek | 109

Google Coral: Raspberry Pi s čipem, který zpracuje 4 biliony operací za sekundu

Google Coral: Raspberry Pi s čipem, který zpracuje 4 biliony operací za sekundu

** Je to velké jako Raspberry Pi ** Ale je to až o několik řádů rychlejší ** Dorazil nám exotický Google Coral s akcelerátorem Edge TPU

Jakub Čížek | 18

Nejlepší notebooky do 20 000 Kč. Tipy, co se dnes vyplatí koupit

Nejlepší notebooky do 20 000 Kč. Tipy, co se dnes vyplatí koupit

** S cenou do 20 tisíc lze vybrat solidní notebook na práci i hry ** Přenosné notebooky nabídnou i kovová těla a rychlý hardware ** Na hraní se hodí více peněz, ale na použitelný základ dvacet tisíc stačí

Tomáš Holčík, David Polesný | 39

Antivir zdarma: 8 bezplatných řešení, která zatočí s havětí v počítači

Antivir zdarma: 8 bezplatných řešení, která zatočí s havětí v počítači

** Součástí Windows 10 je integrovaný antivirový program. Stačí to? ** Představíme vám sedm aplikací na boj proti virům a malwaru ** Všechny jsou k dispozici zdarma a některé ani nemusíte instalovat

Karel Kilián | 31


Aktuální číslo časopisu Computer

Megatest: 20 powerbank s USB-C

Test: mobily do 3 500 Kč

Radíme s výběrem routeru

Tipy na nejlepší vánoční dárky