Szyfrowanie poczty to na ogół dobry pomysł, ale nie gwarantuje bezpieczeństwa. Nie chodzi o to, że OpenPGP czy S/MIME można złamać. Problem w tym, że klienty poczty mają luki w systemach wymiany kluczy i certyfikatów.
Naukowcy przeanalizowali zachowanie 18 klientów poczty, które mają możliwość korzystania z szyfrowania end-to-end OpenPGP i 18, które mogą korzystać z S/MIME. Wyniki są niepokojące. Sześć z pierwszej grupy i pięć z drugiej mają luki, pozwalające na odszyfrowanie wiadomości.
Zobacz: Gmail otrzymuje zakładki dla poczty, czatu, Rooms oraz Meet
Zobacz: Google wprowadza w G Suite usprawnienia dla mobilnych dokumentów
Jeszcze raz zaznaczę, że nie są to wady samego szyfrowania – tu nie ma do czego się przyczepić. Po prostu programy można trochę oszukać przy wysyłaniu wiadomości. Wynika to raczej z przekomplikowanej infrastruktury i możliwości wysyłania e-maili w różnych formatach. Dotyczy to także tego, jak programy do odbierania poczty traktują certyfikaty i cyfrowe podpisy.
W skrócie analitycy odkryli, że wysyłając odpowiednio spreparowany e-mail, można „poprosić” klienta poczty, by przekazał plik z kluczem szyfrującym bądź podmienić ten klucz na własny. Niektóre wersje popularnego Thunderbirda dla Linuxa można było przekonać, by wysłał klucze SSH jako załącznik, co pozwoliłoby atakującym na zdalne logowanie. Specjaliści pokazali ten atak w praktyce.
Have you ever heard of the mailto:?attach=~/… parameter? It allows to include arbitrary files on disk. So, why break PGP if you can politely ask the victim's mail client to include the private key? (1/4) pic.twitter.com/7ub9dJZJaO
— Jens Müller (@jensvoid) August 17, 2020
Bezpieczeństwo poczty elektronicznej wzięli na warsztat naukowcy z Uniwersytetu w Bohum i Münster, a wynik badania zaprezentowali podczas wirtualnej konferencji IEEE Conference on Communications and Network Security. Badanie doprowadziło do odkrycia pięciu luk, przy czym ze względów bezpieczeństwa dwie z nich nie zostały jeszcze ujawnione. Oczywiście deweloperzy klientów poczty zostali powiadomieni odpowiednio wcześniej – już w lutym. Raport wymienia Thinderbirda na Linuxa, a także GNOME Evolution, KDE KMail, IBM/HCL Notes i Pegasus Mail. Dla mnie to kolejny argument za tym, że e-mail musi odejść.
Zobacz: Sto dolarów, albo Twoje strony przestaną działać - nowa kampania w sieci
Zobacz: Nowa kampania phishingowa, na celowniku użytkownicy Office 365
Źródło tekstu: Ruhr-Universität Bochum
