OTKRIVEN KATASTROFALAN PROPUST: Mejl više nije bezbedno sredstvo komunikacije
Vaši enkriptovani mejlovi nisu bezbedni
Ako koristite PGP ili S/MIME za enkripciju vaših mejlova, trebalo bi da ih istog trenutka isključite u vašem mejl klijentu, a među pogođenim klijentima se nalazi i Gmail.
Istraživači su otkrili kritičnu ranjivost koju nazivaju EFAIL i koja otkriva sve enkriptovane mejlove u običnom tekstu - čak i za poruke poslate u prošlosti.
- Mejl više nije sigurno sredstvo komunikacije, izjavio je Sebastien Šnicel, profesor kompjuterske bezbednosti sa Munster univerziteta.
Ovu ranjivost prvi put je obznanila Electronic Frontier fondacija u današnjim jutarnjim časovima.
Grupa evropskih istraživača želi da upozori ljude da odmah prestanu da koriste PGP jer ne postoje pouzdana rešenja za ovu ranjivost.
EFAIL ranjivost funkcioniše tako što napadač menja enkriptovan mejl na specifičan način i potom ga šalje žrtvi. Mejl klijent žrtve dekriptuje mejl i učitava sav njegov sadržaj, i napadaču šalje sadržaj mejla.
- EFAIL napadi koriste ranjivosti u OpenPGP i S/MIME standardima kako bi otkrili tekst enkriptovanih mejlova. U osnovi, EFAIL zloupotrebljava aktivan sadržaj HTML mejla, primera radi - slike koje se učitavaju spolja sa određene adrese, kako bi izvukli običan tekst kroz tražene URL-ove. Kako bi došli u situaciju da urade ovo, napdači prvo moraju da sebi obezbede pristup enkrpitovanom mejlu tako što će prisluškivati mrežni saobraćaj ili jednostavno kompromitovati mejl nalog ili server.
Napadač menja enkriptovani mejl na specifičan način i taj promenjeni mejl šalje žrtvi. Mejl klijent žrtve potom dekriptuje taj mejl i učitava spoljni sadržaj i tako otkriva saržaj napadaču, objašnjavaju istraživači.
Dugoročno gledano, potrebno je menjati postojeće standarde zaštite, a za to je potrebno vremena.
PGP (Pretty Good Privacy - prilično dobra bezbednost) je program za enkripciju koji se smatra zlatnim standardom za bezbednost mejlova i prvi put je predstavljen 1991. godine.
VIDEO Saznajte sve o bezbednosti vaših ličnih podataka:
(Telegraf.rs)