Tavalised kasutajad kasutavad meilide saatmiseks / vastuvõtmiseks harva mingisugust kaitset. Kuid mõned ettevõtted ja inimesed pöörduvad PGP, GPG ja S / MIME pakkuda vahetatavate sõnumite kaitsekihti.
Avaldame kriitilised haavatavused PGP / GPG ja S / MIME e-posti krüptimises 2018-05-15 07:00 UTC. Need võivad paljastada krüptitud e-kirjade, sealhulgas ka varem saadetud krüptitud e-kirjade, teksti. #ail 1/4
– Sebastian Schinzel (@ security) 14. mai 2018
Vastavalt Sebastian Schinzel, arvutiturbe professor, on kaitsel kriitiline haavatavus, mis võib paljastada krüpteeritud meili selge teksti, sealhulgas juba saadetud sõnumid. Kogu tuvastatud haavatavustega seotud teave avaldatakse homme kell 4 hommikul (Brasilia aja järgi).
Praegu pole parandus saadaval ja ainus asi, mida saate teha, on oma e-posti kliendis keelata PGP / GPG või S / MIME. Mõjutatud kliendid (koos vastavate kaitsepluginatega) on: Thunderbird koos Enigmailiga, Apple Mail koos GPGToolsiga ja Outlook koos Gpg4winiga.
Probleem
Negatiivne külg on see, et see kasutab HTML-i renderdamise probleemide uurimiseks mitmeosalisi vastuseid. Kui ründaja saab kellegi krüpteeritud meilisisu, saab ta krüptitud teksti kasutajale tagasi saata ja avaldada selge tekstivormi, ilma et tal oleks juurdepääsu saatja privaatsele krüptovõtmele.
Ründaja saadab kolm osa (osalise HTML img-märgendi deklaratsiooni ja krüpteeritud teksti stringi, millele järgneb pildisildi sulgemiseks HTML). See põhjustab meilikliendi teksti dekrüpteerimise ja muudab selle võltsitud pildi URL-i allikaks.
Kui see inimene avab teie kliendis e-posti aadressi, proovib ta pildi üleslaadimiseks tuua URL-i. Ründeserver logib päringu ja hoiab dekrüpteeritud sisust koopia.
Kuidas eemaldada GPG-i tööriistad MacOS-i Mailist
Kui teil on Maili installitud plugin GPG Tools (GPGMail), järgige selle eemaldamiseks allolevaid soovitusi, kuni kõik on täielikult fikseeritud:
- Sulgege rakendus Mail (Mail »Sule post või otsetee abil ⌘Q);
- Avage see Finderis Mine »Ava kausta … (⇧⌘G);
- Tüüp / raamatukogu / kiri / kogu;
- Kustutage fail GPGMail.mailbundle (lohistades selle prügikasti või paremklõpsates sellel valikut “Teisalda prügikasti”);
- Toimingu kinnitamiseks sisestage administraatori parool;
- Kui te ei leia faili kaustast, minge tagasi 2. sammu juurde ja tippige ~ / Library / Mail / Collections.
Seal, kui Mail uuesti avate, ei ole pistikprogramm enam selle osa.
IOS-is
IOS-is on see palju lihtsam, lihtsalt avage see Seaded »E-post ja keelake valik “Laadi pilt üles”.
Ja nüüd?
Puudustest saab üle tarkvarauuendusega – loomulikult töötavad vastutavad isikud selle kallal.
Ajutise alternatiivina – nende jaoks, kes tõesti vajavad turvalist otsast lõpuni suhtlemist, on ideaalne minna üle mitmele kullerile nagu Signal või iMessage (Signalis on endiselt funktsioon, mis paneb sõnumid kaduma).
läbi MacRumors: 1, 2; 9 kuni 5 Mac
