| 14 мая 2018 г. — 3:45 PT
Исследователи обнаружили уязвимости в рендеринге HTML в Apple Mail на Mac и iOS, а также в Mozilla Thunderbird, которые позволяют злоумышленникам извлекать расшифрованный обычный текст из зашифрованных почтовых сообщений.
Хотя большая часть электронной почты отправляется без шифрования, многие компании и люди полагаются на зашифрованные сообщения S/MIME и PGP для приватного общения. Эти недавно опубликованные уязвимости подрывают безопасность якобы приватных электронных переписок.
Основная проблема, затрагивающая Apple Mail, iOS Mail и клиент Mozilla Thunderbird, — это метод, использующий многокомпонентные ответы для эксплуатации проблем рендеринга HTML.
Если злоумышленник получает зашифрованное содержимое электронного письма от пользователя, он может отправить этот зашифрованный текст обратно пользователю и раскрыть расшифрованную форму обычного текста, даже не имея доступа к закрытым ключам шифрования отправителя.
По сути, злоумышленник отправляет три части — объявление частичного HTML-тега , строку зашифрованного текста, а затем закрывающий HTML-тег изображения. В результате почтовый клиент расшифровывает зашифрованный текст и отображает его как URL-адрес исходного изображения.
Когда пользователь открывает письмо в своем локальном клиенте, он попытается загрузить URL для отображения изображения. Сервер злоумышленника регистрирует запрос и получает копию расшифрованного содержимого. Очевидно, что домен URL контролируется злоумышленником для достижения этой цели; в данном примере это «efail.de».
Эта уязвимость в приложении Mac Mail и Mail для iPhone и iPad может быть устранена с помощью обновления программного обеспечения, которое, несомненно, уже разрабатывается. Плагин GPG для macOS вскоре выпустит обновление для защиты от этих атак. Важно отметить, что этот эксплойт полезен только в том случае, если недобросовестный человек уже имеет доступ к зашифрованным электронным письмам S/MIME или PGP.
Атака заключается в обращении к тому же человеку, который изначально отправил зашифрованное письмо. Невозможно отправить письмо кому-то совершенно случайно и получить поток расшифрованного содержимого на сервере. Потенциал для компрометации коммуникаций возрастает, если электронное письмо является частью группового разговора, поскольку злоумышленнику нужно атаковать только одного человека в цепочке, чтобы выполнить расшифровку.
Если вы обеспокоены тем, что можете стать мишенью этой атаки, вы можете отключить загрузку удаленного содержимого в качестве меры предосторожности, прежде чем Apple официально обновит свои приложения для закрытия лазейки. Для Apple Mail на Mac это переключатель «Загружать удаленное содержимое в сообщениях» в «Настройках Почты». В iOS эта настройка называется «Загрузить удаленные изображения» и находится в «Настройках» iOS. В качестве более радикальной меры вы можете полностью удалить ключи PGP из почтового клиента, чтобы приложение не могло расшифровывать закодированные строки.
Помимо проблемы с рендерингом HTML, исследователи EFAIL также опубликовали более технический эксплойт самой спецификации стандарта S/MIME, который затрагивает около двадцати клиентов, помимо клиентов Apple. Это гораздо более техническая уязвимость; вы можете подробно ознакомиться с ней на веб-сайте EFAIL. В долгосрочной перспективе полное исправление этой конкретной уязвимости потребует обновления базовых стандартов шифрования электронной почты.
Посетите 9to5Mac на YouTube для получения дополнительных новостей об Apple: