Fel i HTML-rendering som upptäcktes i Apple Mail för iOS och macOS detaljerades i morse, vilket låter skrupelfria angripare hämta dekrypterad vanlig text från dina krypterade e-postmeddelanden.
Datorsäkerhetsprofessor Sebastian Schinzel publicerade igår ett forskningsdokument om denna sårbarhet som kallas EFAIL.
Vad handlar denna sårbarhet om?
Sammanfattningsvis tillåter denna sårbarhet en angripare att avslöja klartext för någons krypterade e-postmeddelanden utan att behöva avsändarens privata krypteringsnycklar, inklusive krypterade e-postmeddelanden som skickats tidigare. För att attacken ska fungera, måste en besviken part ha dina krypterade S / MIME- eller PGP-e-postmeddelanden.
Det handlar om att använda en speciellt utformad bildtagg tillsammans med en sträng krypterad text. Kombinationen får Apple Mail för iOS och macOS att dekryptera innehållet i krypterade meddelanden. Genom att öppna en krypterad e-post uppmanas klienten att ladda den angivna bilden från en domän som kontrolleras av en angripare, vilket låter dem få kopior av dekrypterade meddelanden.
Det här problemet berör också användare av Mozillas Thunderbird-e-postklient.
Hur allvarligt är det?
Benjamin Mayo diskuterar potentiella konsekvenser av denna brist:
Attacken förlitar sig på att kontakta samma person som skickade den krypterade e-posten i första hand. Det är inte möjligt att skicka e-post till någon blå och att en server får en ström av dekrypterat innehåll. Potentialen för komprometterad kommunikation ökar om e-postmeddelandet är en del av en gruppkonversation eftersom angriparen bara behöver rikta in sig på en person i kedjan för att dra bort dekrypteringen.
Förutom HTML-återgivningsfrågan, publicerade forskarna också en mer teknisk exploatering av själva S / MIME-standardspecifikationen som påverkar tjugo-klienter utöver Apples. Långsiktig, omfattande korrigering av den här sårbarheten kommer att kräva en uppdatering av de underliggande e-postkrypteringsstandarderna.
Electronic Frontier Foundation vägde in och sa:
EFF har varit i kommunikation med forskarteamet och kan bekräfta att dessa sårbarheter utgör en omedelbar risk för dem som använder dessa verktyg för e-postkommunikation, inklusive potentiell exponering av innehållet i tidigare meddelanden.
Det här felet påverkar endast personer som använder PGP / GPG och S / MIME-e-postkrypteringsprogramvara som gör meddelanden oläsliga utan en krypteringsnyckel. Företagsanvändare litar ofta på kryptering för att förhindra avlyssning på sin e-postkommunikation.
Men mest e-post skickas okrypterat.
Hur du kan skydda dig själv
En tillfällig fix: ta bort GPGTools / GPGMail-krypteringspluginet från Apples Mail på macOS (papperskorgen GPGMail.mailbundle från / Bibliotek / Mail / Bundles eller ~ / Bibliotek / Mail / Bundles).
Som en mer extrem åtgärd, inaktivera emote innehåll hämta: växla "Ladda fjärrinnehåll i meddelanden" i Mail för MacOS-inställningar och Ladda fjärrbilder i Mail för iOS.
Apple kommer sannolikt att utfärda en nödsituation för denna allvarliga brist så håll dig inriktad och se detta utrymme när vi lovar att hålla dig i slingan.
Under tiden, låt oss veta vad du tycker om denna nyupptäckta sårbarhet i Apple Mail och andra e-postklienter genom att lämna en kommentar nedan.
