Podatności w implementacjach OpenPGP oraz S/MIME: „EFAIL”

Data publikacji: 14/05/2018, Mateusz Szymaniec

Niemieccy badacze bezpieczeństwa 14 maja 2018 roku opublikowali pracę dotyczącą występowania możliwych podatności bezpieczeństwa w niektórych implementacjach protokołów OpenPGP oraz S/MIME używanych m.in. do szyfrowania wiadomości e-mail. W niektórych przypadkach, atakujący posiadający dostęp jedynie do zaszyfrowanej wiadomości są w stanie odzyskać pełną treść odszyfrowanej wiadomości.

Dokonać można tego poprzez wysłanie odpowiednio zmodyfikowanej wiadomości do dowolnego z pierwotnych odbiorców. Podatne klienty poczty mogą wtedy w sposób automatyczny lub półautomatyczny, z udziałem użytkownika, odesłać atakującym odszyfrowaną treść.

W teorii, złośliwa modyfikacja wiadomości już po jej zaszyfrowaniu powinna być wykryta przez wykorzystanie mechanizmu uwierzytelniania wiadomości, tj. message authentication code. W praktyce okazuje się, że pomimo jego zastosowania (np. w postaci „Modification Detection Codes” w OpenPGP) w nowoczesnych trybach szyfrowania możliwe jest obejście tego zabezpieczenia. Źle skonfigurowana infrastruktura pośrednia czy programy pocztowe mogą łączyć niezaufane, doklejone części wiadomości w niebezpieczny sposób, bądź nie biorą pod uwagę braku albo niewłaściwego kodu uwierzytelniania.

Wyprowadzenie wiadomości w prezentowanych atakach odbywa się za pomocą dodania odpowiednio przygotowanych tagów HTML, których wyświetlenie w kliencie pocztowym spowoduje odesłanie na zewnętrzny serwer odszyfrowanej już wiadomości. Część klientów pocztowych w swojej domyślnej konfiguracji pozwala na automatyczne połączenie z zewnętrznym serwerem już w momencie odczytania wiadomości. Inne wymagają dodatkowego kliknięcia w wiadomości na spreparowany element interfejsu użytkownika.

Do czasu poprawienia błędów oraz zmiany domyślnych, niebezpiecznych ustawień klientów pocztowych obsługujących zaszyfrowane wiadomości radzimy wyłączyć wyświetlanie wiadomości w trybie HTML lub całkowicie wyłączyć obsługę automatycznego odszyfrowywania wiadomości i odszyfrowywanie ich poza klientem pocztowym.

Pełną pracę, zawierającą szczegóły techniczne można znaleźć pod adresem: https://efail.de/efail-attack-paper.pdf.

Szczególnie podatne (w tym na najprostszy wariant ataku) na dzień publikacji są: Apple Mail, aplikacja Mail na iOS, Thunderbird z Enigmail, Postbox oraz MailMate.