您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。
News Detail Banner
> 首頁 > 資安新聞

資安新聞

電子郵件OpenPGP及S/MIME加密規範存在安全漏洞

電子前線基金會(Electronic Frontier Foundation, EFF)在於5/13揭露了一系列E-mail端點到端點加密技術OpenPGP和S/MIME的漏洞警告,該漏洞被稱為EFAIL,能使加密的電子郵件以明文的形式曝露給駭客,這個漏洞確認會對使用E-mail的用戶造成直接威脅,而且連歷史郵件也都存在暴露的風險。EFF表示,他們為了降低風險,已延後這些漏洞揭露的時間,並先行告知了PGP用戶群。簡單來說,EFAIL濫用HTML電子郵件的活動內容,像是外部載入的圖像或是樣式,通過請求URL來滲透郵件明文。而要建立這些滲透通道,駭客需要先存取這些加密信件,通常是以竊聽網路流量或是入侵E-mail帳號、E-mail伺服器、備份系統以及客戶端電腦,而這些系統可能存有數年的歷史郵件。駭客能以特殊的方式更改加密郵件,並將更改後的加密郵件發送給受害者,受害者在客戶端解密郵件且載入外部HTML內容後,這些郵件內容便會隨即以明文洩漏給駭客。

EFAIL的攻擊手法有兩種,第一種是直接滲透攻擊,利用Apple郵件、iOS郵件以及Mozilla Thunderbird等客戶端中的漏洞,直接洩露加密電子郵件的明文。第一種攻擊方法,可以在E-mail客戶端應用程式直接修補。第二種則是CBC/CFB小工具攻擊,透過濫用OpenPGP和S/MIME規範中的漏洞來洩漏明文。資安專家指出,雖然CBC/CFB小工具攻擊對PGP和S/MIME攻擊方式非常相近,但成功機率有差。要攻破S/MIME非常簡單,以他們的測試,駭客只要對受害者發送一個精心製作的S/MIME郵件,就能直接開啟500封受害者的其他郵件,但是以當前他們的研究狀況,因為PGP在加密前壓縮了明文,使得解密工作變得比較複雜,PGP的CFB小工具攻擊大約只有三分之一的成功率。

目前資安專家針對漏洞提供了短中長期的安全建議。短期最佳防範EFAIL的方法,就是在E-mail客戶端外獨立進行解密動作。使用者可以在E-mail客戶端中刪除S/MIME和PGP私鑰,然後將密文複製到單獨的應用程式中進行解密。如此E-mail客戶端便無法開啟滲透通道,資安專家認為,這是目前最安全的方法,缺點就是手續繁瑣。另外,E-mail客戶端也可以透過禁用HTML的功能來降低危害,資安專家表示,EFAIL主要透過濫用活動內容,像是HTML圖像或是樣式等形式。禁用HTML在E-mail中顯示,將能直接關閉EFAIL的主要攻擊手段,但其中仍然存在與HTML無關的反向通道,但這些通道相對較難以被利用。中期解決方案,當然是依靠供應商修補EFAIL的漏洞,而長期上,則是應該更新OpenPGP和S/MIME標準,因為該攻擊直接利用了標準中的缺陷以及未定義的行為。不過標準更新需要的時間較長,E-mail使用者應該先採取相對應的方式減緩危機。

Reference

資料來源:
https://www.eff.org/deeplinks/2018/05/attention-pgp-users-new-vulnerabilities-require-you-take-action-now
https://arstechnica.com/information-technology/2018/05/critical-pgp-and-smime-bugs-can-reveal-encrypted-e-mails-uninstall-now/
https://efail.de/
https://www.ithome.com.tw/news/123150
國家資通安全會報技術服務中心整理

Publish Date
2018/5/14 0:00:00