Questa falla di sicurezza, denominata EFAIL , non riguarda i protocolli stessi così come sono stati presentati inizialmente ma alcuni plugin e strumenti che li sfruttano , il che rende la situazione un po 'meno critica .
Un difetto non facilmente sfruttabile
Primo, il difetto EFAIL può essere sfruttato solo sui messaggi degli utenti che utilizzano S / MIME o PGP per crittografare le loro comunicazioni.S / MIME è uno standard utilizzato principalmente negli affari . Su macOS e iOS in particolare, il software Apple mostra un lucchetto accanto al mittente quando si invia un'e-mail con questo metodo. Tuttavia, sembra che Apple abbia corretto questo difetto dalla versione 10.13.4 di High Sierra, essendo stata informata molto prima dell'uomo comune di questa vulnerabilità. Anche Gmail potrebbe risentirne perché il client web offre un'opzione per crittografare i messaggi utilizzando S / MIME.
Per PGP, questo di solito richiede l' installazione di un componente aggiuntivo, sebbene alcuni clienti lo includano per impostazione predefinita. Ad esempio, Thunderbird, il client di posta elettronica di Mozilla Foundation, è affetto da questo difetto.
Se usi un plugin o uno strumento PGP o S / MIME , stai certo che non sei necessariamente esposto . Dei 35 client e servizi abilitati per S / MIME testati, 25 erano interessati; allo stesso modo, su 28 client PGP testati, solo 10 sono stati compromessi.
Ancora più rassicurante, la vulnerabilità consente ai messaggi di essere decrittografati a tua insaputa, ma ciò richiede l'accesso ai messaggi , il che limita chiaramente la portata della violazione della sicurezza.
Questo può essere fatto recuperando i messaggi dal computer dell'utente, estraendoli dal server dell'azienda che archivia i messaggi o catturandoli tramite una rete non protetta, ma ciò richiede una conoscenza aggiuntiva per l'attaccante. E tempo.
Una colpa vecchia di dieci anni
Non stiamo parlando di ossa qui, ma sempre della colpa. Sembra che questa recentissima scoperta riguardi una vulnerabilità presente da circa dieci anni . A dire il vero, la falla riguardante PGP è nota e documentata dal 1999, anche se, ovviamente, le patch erano state implementate all'inizio degli anni 2000.Con sgomento degli utenti, non c'è modo di esserne sicuri. che non è stato utilizzato per decrittografare le sue e-mail.
Dietro EFAIL , ci sono diversi difetti da enumerare, che riguardano tecnologie, client e servizi di crittografia. Caso per caso, i dati che gli hacker possono recuperare in chiaro variano.
Puoi trovare il documento completo pubblicato dal team di ricerca dietro la scoperta sul sito ufficiale di EFAIL.
Come funziona il difetto EFAIL
Tecnicamente, come funziona questa vulnerabilità? È l'HTML, che viene utilizzato per formattare un'e-mail, che è al centro del problema. La tecnica di hacking richiede alcuni passaggi.Prima di tutto, l'attaccante deve quindi recuperare una copia di un'e-mail crittografata tra il destinatario e il mittente. Una volta in mano, crea una versione modificata dell'email, il cui contenuto crittografato è incluso in un tag HTML, aggiungendo un collegamento a un nome di dominio controllato dall'aggressore. Infine, invia questa e-mail intrappolata alla destinazione. All'apertura, il client di posta decrittografa il messaggio in modo che l'utente possa visualizzarlo e una copia in chiaro verrà inviata al nome di dominio contenuto nel tag HTML, consentendo così laattaccante per recuperarlo.
Da lì, avrà accesso a tutte le informazioni nell'e - mail - tramite i dati nascosti nell'e-mail - e può andare molto oltre nell'hacking dei dati degli utenti.
Cosa fare per proteggersi da esso?
Ora c'è solo una cosa da fare: smettere di usare il tuo client di posta per decrittografare i messaggi . Questa è la migliore soluzione a breve termine per eliminare drasticamente il problema poiché la falla di sicurezza di EFAIL sfrutta il client di posta. Disattiva la crittografia, rimuovi i certificati associati se applicabile e disinstalla i moduli eventualmente installati.Altrimenti, devi solo aspettare pazientemente che gli sviluppatori di software rilascino una patch ora che il team dietro la vulnerabilità ha reso pubblica la sua scoperta.
