Bezpečnost | Malware | E-mail

Šifrujete e-maily pomocí OpenPGP nebo S/MIME? Pozor, experti z Německa a Belgie v nich našli vážnou chybu

Používáte technologii pro end-to-end šifrování e-mailů OpenPGP nebo S/MIME? Tak to pozor, experti z německého Münsteru, Biochumu a belgického Leuvenu totiž publikovali studii (PDF) o nové zranitelnosti, které dali jméno EFAIL.

Princip je relativně jednoduchý. Pokud se útočník nějakým způsobem dostane k zašifrovanému textu e-mailu (odposlechem na síti, průnikem do PC apod.), dokáže získat jeho rozšifrovanou podobu a to aniž by znal klíč.

Klepněte pro větší obrázekKlepněte pro větší obrázek
Útočník nejprve získá zašifrované verze e-mailů a znovu je pošle oběti. Tentokrát jsou však trošku pozměněné a sám poštovní klient při zpracovávání předá útočníkovi dešifrovanou podobu.

Stačí, když takto zašifrovaný e-mail v upravené podobě odešle zpět oběti, jejíž poštovní klient zprávu dešifruje a text sám předá útočníkovi. Jak? E-mail totiž bude rozdělený do několika částí formátu multipart.

Na začátku bude HTML kód s obrázkem, přičemž v jeho parametru SRC začne šifrovaná část. Vše opět uzavře HTML kód, který ukončí značku IMG pro obrázek. Poštovní klient s šifrovacím doplňkem tedy nejprve dešifruje zprávu a pak ji vloží jako URL obrázku v oné HTML části. Na závěr konečně vykreslí HTML kód a tím dojde k odeslání dešifrované čísti na server útočníka, protože se zpracuje značka obrázku.

Klepněte pro větší obrázek
Zdrojový kód zákeřného e-mailu, který se skládá z několika částí. Vnějšího HTML a původní zašifrované části. Pošťák tuto část dešifruje a díky značce IMG a jejímu parametru SRC předá útočníkovi.

Experti radí, aby uživatelé, kteří používají šifrování PGP a S/MIME přímo v poštovním klientu, do vyřešení problému dešifrovali e-maily v externí aplikaci, případně zablokovali vykreslování HTML v poštovním klientu.

Klepněte pro větší obrázek
Klepněte pro větší obrázek
Dešifrovaný text se vloží do parametru SRC a při zpracovávání HTML se jako požadavek HTTP GET dostane na server záškodníka

Technika zneužívání načítání vzdálených obrázků nicméně není nikterak nová a jedná se o jednu z cest, jak do počítače oběti dostat malware (namísto regulérního obrázku se stáhne a načte virus). Proto mnohé klienty ve výchozím stavu obrázky nenačítají a vyžadují explicitní povolení uživatele.

Diskuze (10) Další článek: Apple se snaží o rychlý přechod na nový typ výroby hliníku, při které nevznikají skleníkové plyny

Témata článku: Bezpečnost, Malware, Německo, E-mail, Šifrování, PDF, Expert, Parametr, Explicitní povolení, Pc apod, Poštovní klient, PGP, Externí aplikace, HTML, Leuven, Odeslání, Zdrojový kód, Nová zranitelnost, HTTP Get, Zneužívání, HTML kód, Výchozí stav, SRC, Obrázek, Vážná chyba


Určitě si přečtěte

Vybrali jsme 16 programovatelných hraček a stavebnic pro děti. A vlastně i pro vás

Vybrali jsme 16 programovatelných hraček a stavebnic pro děti. A vlastně i pro vás

** Získejte děti pro matematiku a základy techniky ** Kupte jim hračku nebo stavebnici, které vdechnou vlastní život ** Vybrali jsme 16 stavebnic pro nejmenší caparty i vás samotné

Jakub Čížek | 17

Byli tam! Důkazy o přistání na Měsíci, Lunochody i čínská sonda jsou vidět z vesmíru

Byli tam! Důkazy o přistání na Měsíci, Lunochody i čínská sonda jsou vidět z vesmíru

** Sonda LRO pořídila z oběžné dráhy Měsíce zajímavé snímky ** Jsou na nich vidět artefakty všech misí programu Apolla, které přistály na povrchu Měsíce ** Jde například o části lunárních modulů, rovery a dokonce i vlajky

Petr Kubala | 69

Jak funguje největší akumulátor v Česku: podívejte se do elektrárny Dlouhé Stráně

Jak funguje největší akumulátor v Česku: podívejte se do elektrárny Dlouhé Stráně

** Přečerpávací vodní elektrárna Dlouhé stráně je obdivuhodné technické dílo ** Stejná turbína vyrábí elektřinu i tlačí vodu zpět do horního jezera ** Strojovna elektrárny je zabudována v podzemí

David Polesný | 36

Notebook do 10 000 korun: Co koupit a čemu se raději vyhnout

Notebook do 10 000 korun: Co koupit a čemu se raději vyhnout

** Do deseti tisíc korun lze dnes koupit slušné notebooky ** V nabídce ale převládají zastaralé a pomalé modely ** Poradíme, jak dobře vybrat i s omezeným rozpočtem

David Polesný | 75



Aktuální číslo časopisu Computer

Jak nastavit a ochránit nový mobil

Velký test bezdrátových klávesnicí a myší

Počítače v roce 2019

Srovnání barevných laserových multifunkcí