Par ievainojamību, kas skar OpenPGP un SecureMIME izmantošanu e-pasta lietotnēs
14.maijā, vācu pētnieks Sebastian Schinzel, pēc nesekmīga embargo mēģinājuma, publiskoja pētījumu, kurā norāda uz divām ievainojamībām, kas skar OpenPGP un S/MIME šifrēšanas izmantošanu e-pasta lietotnēs.
Lai izmantotu ievainojamību, uzbrucējam ir jāspēj pārtvert vai piekļūt šifrētam e-pastam (piemēram, realizējot man-in-the-middle uzbrukumu, kompromitējot e-pasta serveri, rezerves kopiju serveri vai lietotāja datoru) un to modificēt, pievienojot tam klāt jaunas daļas, kas satur specifisku HTML kodu. Daudzas e-pasta lasīšanas lietotnes pēc e-pasta atšifrēšanas arī ielādēs un izpildīs šo uzbrucēja pievienoto HTML kodu, kā rezultātā uzbrucējam var tikt nosūtīts atšifrēta e-pasta saturs.
Jāpiebilst, ka uzbrucējam, veicot sava šifrētā teksta apvienošanu ar šifrēto oriģinālu, ir jānoņem ziņas integritātes pārbaudes pazīme, jeb tā saucamais MDC (Modification detection code). Kas, savukārt, pie atšifrēšanas, OpenPGP rada nepārprotamu brīdinājumu par to, ka ziņai nebija integritātes aizsardzība. Tas ir signāls e-pasta lietotnei neturpināt e-pasta apstrādi, tomēr ne visas e-pasta lietotnes ievēro šādu OpenPGP brīdinājumu.
Kaut arī drošības pētnieki ir veikuši visai darbietilpīgu un interesantu pētījumu, diemžēl pašas ievainojamības atklāšanas process nav bijis tas veiksmīgākais, jo autori sākotnēji sniedzot pārāk maz informācijas par pašu ievainojamību un nosakot informācijas embargo, kā arī kā vienīgo aizsardzības ieteikumu minot lietotņu atslēgšanu, raisīja dažādas spekulācijas par iespējamo ievainojamības apdraudējumu un nozīmīgumu.
Ieteikumi sevis pasargāšanai:
- Atspējojiet HTML satura atspoguļošanu, izvēloties tikai teksta (plain-text) režīmu e-pasta pārlūkošanai;
- Atspējojiet attālināta satura (attēli, skripti) lejupielādi;
- Atjauniniet e-pasta lietotni un tās paplašinājumus (piem. Enigmail), tiklīdz atjauninājumi pieejami;
- Atjauniniet ar OpenPGP un S/MIME standartiem saistītās lietotnes.
Ievainojamību CVE kodi:
CVE-2017-17688: OpenPGP CFB gadget attacks
CVE-2017-17689: S/MIME CBC gadget attacks
Pētījuma autora apkopotā informācija par ievainojamību: https://efail.de/