I difetti di rendering HTML scoperti in Apple Mail per iOS e macOS sono stati dettagliati questa mattina, consentendo agli aggressori senza scrupoli di ricavare testo semplice decrittografato dalle e-mail crittografate.
Il professore di sicurezza informatica Sebastian Schinzel ha pubblicato ieri un documento di ricerca su questa vulnerabilità chiamato EFAIL.
In cosa consiste questa vulnerabilità?
In breve, questa vulnerabilità consente a un utente malintenzionato di rivelare il testo in chiaro delle e-mail crittografate di qualcuno senza la necessità delle chiavi di crittografia private del mittente, incluse le e-mail crittografate inviate in passato. Affinché l'attacco funzioni, una parte malvagia deve essere in possesso delle e-mail crittografate S / MIME o PGP.
Implica l'utilizzo di un tag immagine appositamente predisposto insieme a una stringa di testo crittografato. La combinazione fa sì che Apple Mail per iOS e macOS decifrino il contenuto dei messaggi crittografati. L'apertura di un'e-mail crittografata richiede al client di caricare l'immagine specificata da un dominio controllato da un utente malintenzionato, il che consente loro di ottenere copie dei messaggi decrittografati.
Questo problema riguarda anche gli utenti del client di posta elettronica Thunderbird di Mozilla.
Quanto è grave?
Benjamin Mayo discute le potenziali ramificazioni di questo difetto:
L'attacco si basa sul contattare innanzitutto la stessa persona che ha inviato l'e-mail crittografata. Non è possibile inviare per posta elettronica qualcuno di punto in bianco e fare in modo che un server riceva un flusso di contenuti decrittografati. Il potenziale per comunicazioni compromesse aumenta se l'e-mail fa parte di una conversazione di gruppo poiché l'aggressore deve mirare a una sola persona della catena per eseguire la decodifica.
Oltre al problema del rendering HTML, i ricercatori hanno anche pubblicato un exploit più tecnico della specifica standard S / MIME che interessa venti clienti oltre a quelli di Apple. A lungo termine, la correzione completa di questa particolare vulnerabilità richiederà un aggiornamento degli standard di crittografia e-mail sottostanti.
La Electronic Frontier Foundation intervenne, dicendo:
EFF è stato in comunicazione con il team di ricerca e può confermare che queste vulnerabilità rappresentano un rischio immediato per coloro che utilizzano questi strumenti per la comunicazione e-mail, inclusa la potenziale esposizione dei contenuti dei messaggi passati.
Questo errore riguarda solo le persone che utilizzano il software di crittografia e-mail PGP / GPG e S / MIME che rende illeggibili i messaggi senza una chiave di crittografia. Gli utenti aziendali spesso fanno affidamento sulla crittografia per evitare intercettazioni sulle comunicazioni e-mail.
Tuttavia, la maggior parte della posta elettronica viene inviata non crittografata.
Come puoi proteggerti
Una soluzione temporanea: rimuovere il plug-in di crittografia GPGTools / GPGMail dalla posta di Apple su macOS (eliminare il GPGMail.mailbundle a partire dal / Libreria / Mail / Bundles o ~ / Libreria / Mail / Bundles).
Come misura più estrema, disabilita il recupero del contenuto di emote: attiva / disattiva "Carica contenuto remoto nei messaggi" in Mail per le preferenze di macOS e Carica immagini remote in Mail per iOS.
È probabile che Apple emetta una correzione di emergenza per questo grave difetto, quindi resta sintonizzato e osserva questo spazio mentre promettiamo di tenerti aggiornato.
Nel frattempo, facci sapere cosa ne pensi di questa vulnerabilità appena scoperta in Apple Mail e altri client di posta elettronica lasciando un commento qui sotto.
