Чужие письма: хакеры нашли новый способ воровать электронную почту
Письма пользователей протокола PGP, применяемого для шифрования сообщений электронной почты, могут быть перехвачены и прочитаны. Если верить исследователям из Германии, то пользователям стоит отключить все плагины, работающие по данному протоколу, и, возможно, даже удалить их.
Предупреждать всех об уязвимости начал Себастьян Шинзель, глава отдела информационной безопасности Университета прикладных наук в Мюнстере на западе Германии. Специалист отметил, что брешь в системе «может раскрыть текст зашифрованных писем, включая даже те, что были отправлены ранее». И хотя эксперт не стал углубляться в детали, новость потрясла многих пользователей, озабоченных собственной приватностью в интернете.
В свою очередь, аналитики из Фонда электронных рубежей (Electronic Frontier Foundation), занимающегося развитием прав и свобод в интернет-пространстве, тоже ознакомились с результатами исследования и «подтверждают, что данная уязвимость представляет собой самый непосредственный риск для безопасности тех, кто использует протокол для электронной переписки. Причем третьи лица могут раскрыть содержимое даже предыдущих сообщений».
В своем корпоративном блоге специалисты из Фонда электронных рубежей посоветовали: «Пока не будут исправлены ошибки, описанные в исследовании, мы рекомендуем пользователям переключиться на альтернативные каналы сквозного шифрования, такие как [мессенджер] Signal, и временно перестать отправлять и тем более читать письма, зашифрованные по протоколу PGP».
В блоге фонд также рассказал, как удалить соответствующие PGP-плагины. Подобные системные надстройки, кстати, имеются в почтовых клиентах используемых Apple, а также Mozilla Thunderbird и Microsoft Outlook.
Вернер Кох, главный разработчик программного пакета GNU Privacy Guard для защиты персональных данных в Интернете, полагает, что, по всей видимости, уязвимость кроется именно в почтовых клиентах, а не в самом протоколе. В записи своего блога он назвал комментарии Фонда электронных рубежей слишком «раздутыми» и заявил, что по поводу уязвимости с ним никто не связывался.
Технология PGP долгие годы считалась стандартом для шифрования электронной переписки и остается самым популярным методом отправки личных сообщений, однако мобильные приложения типа Signal, Threema или же iMessage от Apple предлагают для личной связи простые способы сквозного шифрования.
К моменту публикации Себастьян Шинзель не ответил на запросы редакции Forbes. Ранее он уже был известен своей работой в выявлении уязвимостей шифрования. Например, в 2016 году вместе с некоторыми другими программистами он воссоздал сетевую атаку по межпротокольному принципу DROWN, который позволял расшифровать интернет-трафик пользователя, пересылаемый по протоколу HTTPS, в 33% случаев.
Охота за данными
На сайте, посвященном обнаруженной уязвимости eFail, исследователи объяснили, что атакующий перехватывает электронное письмо и подделывает его, чтобы заполучить текст сообщений без кодирования: «Проще говоря, данная уязвимость использует активное содержимое электронных писем по протоколу гипертекстовой разметки HTML, например загруженные из сети изображения или шрифты, и в итоге извлекает незашифрованный текст через запрашиваемые URL-адреса. Перехваченное данным образом зашифрованное письмо изменяется и отправляется жертве. Почтовый клиент получателя дешифрует новое послание и выгружает все внешнее содержимое, оставляя для отправителя текст без шифрования».
Ошибки из прошлого
В почтовом сервисе ProtonMail, применяющем технологию PGP, подтвердили, что их почтовая служба от подобной уязвимости не пострадала, и обратили внимание на то, что эта брешь безопасности совсем не нова: «Ошибка известна еще с 2001 года. Она существует в сценариях выполнения программы в различных PGP-клиентах, с самим протоколом все в порядке. Но главная новость заключается в том, что некоторые клиенты с поддержкой PGP не знали о проблеме все 17 лет и поэтому ничего не исправляли. ProtonMail является крупнейшим почтовым сервисом с шифрованием на базе PGP, и мы крайне разочарованы тем, как некоторые организации и статьи создали впечатление, будто небезопасна сама технология и от нее нужно отказаться. Давать такие советы просто неразумно».
По словам представителя Apple, проблема частично была устранена в релизе операционной системы iOS 11.3, который стал доступен для загрузки 29 марта. Остальные исправления для «яблочных» устройств уже в разработке и тоже будут представлены пользователям совсем скоро.
В Microsoft от комментариев отказались.
Перевод Антона Бундина