Používáte technologii pro end-to-end šifrování e-mailů OpenPGP nebo S/MIME? Tak to pozor, experti z německého Münsteru, Biochumu a belgického Leuvenu totiž publikovali studii (PDF) o nové zranitelnosti, které dali jméno EFAIL.
Princip je relativně jednoduchý. Pokud se útočník nějakým způsobem dostane k zašifrovanému textu e-mailu (odposlechem na síti, průnikem do PC apod.), dokáže získat jeho rozšifrovanou podobu a to aniž by znal klíč.
Útočník nejprve získá zašifrované verze e-mailů a znovu je pošle oběti. Tentokrát jsou však trošku pozměněné a sám poštovní klient při zpracovávání předá útočníkovi dešifrovanou podobu.
Stačí, když takto zašifrovaný e-mail v upravené podobě odešle zpět oběti, jejíž poštovní klient zprávu dešifruje a text sám předá útočníkovi. Jak? E-mail totiž bude rozdělený do několika částí formátu multipart.
Na začátku bude HTML kód s obrázkem, přičemž v jeho parametru SRC začne šifrovaná část. Vše opět uzavře HTML kód, který ukončí značku IMG pro obrázek. Poštovní klient s šifrovacím doplňkem tedy nejprve dešifruje zprávu a pak ji vloží jako URL obrázku v oné HTML části. Na závěr konečně vykreslí HTML kód a tím dojde k odeslání dešifrované čísti na server útočníka, protože se zpracuje značka obrázku.
Zdrojový kód zákeřného e-mailu, který se skládá z několika částí. Vnějšího HTML a původní zašifrované části. Pošťák tuto část dešifruje a díky značce IMG a jejímu parametru SRC předá útočníkovi.
Experti radí, aby uživatelé, kteří používají šifrování PGP a S/MIME přímo v poštovním klientu, do vyřešení problému dešifrovali e-maily v externí aplikaci, případně zablokovali vykreslování HTML v poštovním klientu.
Dešifrovaný text se vloží do parametru SRC a při zpracovávání HTML se jako požadavek HTTP GET dostane na server záškodníka
Technika zneužívání načítání vzdálených obrázků nicméně není nikterak nová a jedná se o jednu z cest, jak do počítače oběti dostat malware (namísto regulérního obrázku se stáhne a načte virus). Proto mnohé klienty ve výchozím stavu obrázky nenačítají a vyžadují explicitní povolení uživatele.