Allarme rosso nella sicurezza delle e-mail. Un gruppo di ricercatori ha trovato scappatoie critiche nei due principali sistemi di crittografia dei messaggi in uso, OpenPGP e S / MIME.

Come promemoria, questi due sistemi si basano su algoritmi di crittografia simmetrici e asimmetrici – AES e RSA, ad esempio – per garantire la riservatezza da punto a punto tra un trasmettitore e un ricevitore.

A livello mainstream, la tecnologia più nota di entrambi è OpenPGP che può essere utilizzata con qualsiasi client di posta elettronica. Basta installare il software o l’estensione appropriata plugin per il browser: gpgtools Enigmail, Gpgf4win, Mailvelope etc. Alcuni fornitori di servizi hanno anche integrato direttamente le loro offerte. Questo è il caso, ad esempio, con ProtonMail e GMX Caramail . La tecnologia S / MIME viene utilizzata solo nell’azienda perché richiede un’infrastruttura gerarchica per distribuire i certificati agli utenti.

Due varianti di attacchi

I ricercatori non intendevano rivelare i dettagli di questi difetti fino a domani mattina. Tuttavia, risulta che il loro articolo scientifico e le loro spiegazioni sono già disponibili sul sito web efail.de .

Chiamato “EFAIL”, il principio di attacco è il seguente: un utente malintenzionato intercetta e-mail crittografate, integra alcuni tag HTML e li invia al destinatario. Nel momento in cui quest’ultimo li decodifica nel suo client di posta, il testo decrittografato viene restituito all’attaccante grazie, appunto, a questi tag HTML.

Questo canale di estrazione può essere costruito in due modi. Nel primo caso, il testo cifrato è semplicemente incorporato in un tag immagine. Il testo decifrato verrà quindi interpretato dal client di posta come parte di una richiesta di immagine HTML e inviato in chiaro all’attaccante. Dei 47 client email testati, 17 sono vulnerabili a questo tipo di attacco, inclusi Apple Mail (macOS), Mail App (iOS), Thunderbird (Windows, MacOS, Linux), Postbox (Windows) e MailMate (macOS).

Il secondo caso è simile, ma tecnicamente molto più complicato. Questa volta, l’hacker inietta il suo tag direttamente nel testo cifrato facendo affidamento sulle vulnerabilità presenti negli standard crittografici utilizzati da PGP / GPG e S / MIME, vale a dire le modalità di cifratura a blocchi CBC e CFB. Il tag HTML verrà visualizzato solo dopo la decrittografia, creando il canale di estrazione. Su 35 client di posta elettronica testati, 23 sono vulnerabili tramite S / MIME e 10 tramite PGP / GPG.

Nessuna patch è disponibile al momento. Nel frattempo, ci sono fortunatamente soluzioni alternative, a partire dalla disattivazione della modalità HTML nei client di posta elettronica. In alternativa, disabilitare la decrittografia nel client di posta elettronica. In questo caso, l’utente dovrà copiare e incollare il contenuto crittografato in un’altra applicazione di decrittografia che non esegue il rendering HTML. Coloro che non vogliono prendere la testa può anche semplicemente rinunciare e utilizzare la messaggistica e-mail con la crittografia end per terminare moderno come segnale o telegramma.

Infine, lo sfruttamento di questi difetti non è alla portata del primo hacker, secondo Bruce Schneier, un crittografo emerito. “Essere in grado di intercettare e modificare le e-mail in transito è il tipo di cosa che l’NSA può fare, ma è difficile per l’hacker medio”, dice in una nota del blog .

Lascia una recensione

Please Login to comment
avatar
  Subscribe  
Notificami