HTML-renderingfouten ontdekt in Apple Mail voor iOS en macOS werden vanochtend gedetailleerd, waardoor gewetenloze aanvallers gedecodeerde platte tekst kunnen afleiden uit uw gecodeerde e-mails.
Computerbeveiliging professor Sebastian Schinzel publiceerde gisteren een onderzoekspaper over dit beveiligingslek genaamd EFAIL.
Waar gaat deze kwetsbaarheid over?
Kortom, door dit beveiligingslek kan een aanvaller de gewone tekst van gecodeerde e-mails van iemand onthullen zonder de privécoderingssleutels van de afzender te hoeven gebruiken, inclusief gecodeerde e-mails die in het verleden zijn verzonden. Om de aanval te laten werken, moet een snode partij in het bezit zijn van uw gecodeerde S / MIME- of PGP-e-mails.
Het gaat om het gebruik van een speciaal vervaardigde afbeeldingstag samen met een reeks gecodeerde tekst. De combinatie zorgt ervoor dat Apple Mail voor iOS en macOS de inhoud van gecodeerde berichten decodeert. Wanneer een gecodeerde e-mail wordt geopend, wordt de client gevraagd de opgegeven afbeelding te laden vanuit een domein dat wordt beheerd door een aanvaller, waardoor ze kopieën van gedecodeerde berichten kunnen verkrijgen.
Dit probleem is ook van invloed op gebruikers van Mozilla's Thunderbird-e-mailclient.
Hoe serieus is het?
Benjamin Mayo bespreekt mogelijke gevolgen van deze fout:
De aanval is afhankelijk van het contact opnemen met dezelfde persoon die de gecodeerde e-mail in de eerste plaats heeft verzonden. Het is niet mogelijk om iemand zomaar een e-mail te sturen en een server een stroom gedecodeerde inhoud te laten ontvangen. Het potentieel voor gecompromitteerde communicatie neemt toe als de e-mail deel uitmaakt van een groepsgesprek, omdat de aanvaller zich slechts op één persoon in de keten moet richten om de ontsleuteling te starten.
Naast het HTML-renderingprobleem, publiceerden de onderzoekers ook een meer technisch voordeel van de S / MIME-standaardspecificatie zelf, die van invloed is op een twintigtal clients naast Apple. Op lange termijn, om deze specifieke kwetsbaarheid volledig te patchen, is een update van de onderliggende coderingsstandaarden vereist.
De Electronic Frontier Foundation woog mee en zei:
EFF heeft met het onderzoeksteam gecommuniceerd en kan bevestigen dat deze kwetsbaarheden een onmiddellijk risico vormen voor degenen die deze tools gebruiken voor e-mailcommunicatie, inclusief de mogelijke blootstelling van de inhoud van eerdere berichten.
Deze bug treft alleen mensen die PGP / GPG en S / MIME e-mailversleutelingssoftware gebruiken die berichten onleesbaar maken zonder een versleutelingssleutel. Zakelijke gebruikers vertrouwen vaak op encryptie om te voorkomen dat ze hun e-mailcommunicatie afluisteren.
De meeste e-mail wordt echter niet-versleuteld verzonden.
Hoe je jezelf kunt beschermen
Een tijdelijke oplossing: verwijder de GPGTools / GPGMail-coderingsplugin uit Apple's Mail op macOS (prullenbak de GPGMail.mailbundle van / Library / Mail / Bundles of ~ / Library / Mail / Bundles).
Als een meer extreme maatregel, schakel emote content ophalen uit: schakelen "Externe inhoud in berichten laden" in Mail voor macOS-voorkeuren en Afbeeldingen op afstand laden in Mail voor iOS.
Apple zal waarschijnlijk een noodoplossing voor deze ernstige fout geven, dus houd ons in de gaten en kijk naar deze ruimte, want we beloven je op de hoogte te houden.
Laat ons in de tussentijd weten wat u vindt van deze nieuw ontdekte kwetsbaarheid in Apple Mail en andere e-mailclients door hieronder een reactie achter te laten.
