ΤECH & SCIENCE
Τech & Science /

EFAIL: Ευρωπαίοι ερευνητές αποκαλύπτουν κρίσιμη ευπάθεια στα κρυπτογραφημένα emails

Μια ομάδα ευρωπαίων ερευνητών στον τομέα της ασφάλειας εξέδωσε προειδοποίηση σχετικά με ένα σύνολο τρωτών σημείων που επηρεάζουν τους χρήστες PGP για την κρυπτογράφηση του ηλεκτρονικού ταχυδρομείου.

EFAIL: Ευρωπαίοι ερευνητές αποκαλύπτουν κρίσιμη ευπάθεια στα κρυπτογραφημένα emails Facebook Twitter
Γιάννης Παπαϊωάννου
Γιάννης Παπαϊωάννου
0

Μια ομάδα ευρωπαίων ερευνητών στον τομέα της ασφάλειας εξέδωσε προειδοποίηση σχετικά με ένα σύνολο τρωτών σημείων που επηρεάζουν τους χρήστες PGP και S/MIME για την κρυπτογράφηση του ηλεκτρονικού ταχυδρομείου.

Εάν χρησιμοποιείτε τις μεθόδους PGP ή S/MIME για κρυπτογράφηση των email σας, θα πρέπει αμέσως να την απενεργοποιήσετε στον client του ηλεκτρονικού ταχυδρομείου. Ερευνητές αποκάλυψαν μια κρίσιμη ευπάθεια, την οποία αποκαλούν EFAIL, που εκθέτει τα κρυπτογραφημένα μηνύματα ηλεκτρονικού ταχυδρομείου σε απλό κείμενο, ακόμη και εκείνα που έχουν σταλεί στο παρελθόν.

Η ευπάθεια ανακοινώθηκε αρχικά από το Electronic Frontier Foundation (EFF), το οποίο επιβεβαίωσε κενά ασφάλειας που αποκαλύπτουν τα περιεχόμενα όσων emails έχουν κρυπτογραφηθεί με PGP. Σε tweet που έστειλε πριν λίγες ώρες κάλεσε τους χρήστες να απεγκαταστήσουν το PGP μέχρι να διορθωθούν τα κενά ασφαλείας.

Λίγο αργότερα η Süddeutschen Zeitung έσπασε το εμπάργκο της είδησης, αποκαλύπτοντας λεπτομέρειες της ευπάθειας και τονίζοντας ότι «δεν υπάρχουν αξιόπιστες διορθώσεις για την ευπάθεια επί του παρόντος».

 

Ο Σεμπάστιαν Σίντζελ, καθηγητής ασφάλειας υπολογιστών στο Πανεπιστήμιο Εφαρμοσμένων Επιστημών του Münster, δήλωσε στη γερμανική εφημερίδα: «Οι επιθέσεις EFAIL εκμεταλλεύονται τα τρωτά σημεία στα πρότυπα OpenPGP και S/MIME για να αποκαλύψουν το απλό κείμενο κρυπτογραφημένων μηνυμάτων ηλεκτρονικού ταχυδρομείου. Με απλά λόγια, η EFAIL καταχράται το ενεργό περιεχόμενο των HTML emails, για παράδειγμα εικόνες ή άλλα αρχεία που έχουν φορτωθεί εξωτερικά, για να «φιλτράρουν» και να απομακρύνουν το απλό κείμενο των μηνυμάτων, μέσω αυτών των εξωτερικών URL. Για να δημιουργηθούν αυτά τα κανάλια «φιλτραρίσματος», ο επιτιθέμενος πρέπει πρώτα να έχει πρόσβαση στα κρυπτογραφημένα μηνύματα, για παράδειγμα, παρακολουθώντας την κίνηση στο δίκτυο, λογαριασμούς ή διακομιστές ηλεκτρονικού ταχυδρομείου. Το πιο ανησυχητικό είναι ότι το EFAIL μπορεί να αποκαλύψει μηνύματα ηλεκτρονικού ταχυδρομείου τα οποία έχουν σταλεί πριν από χρόνια».

Το PGP (Pretty Good Privacy) είναι ένα πρωτόκολλο κρυπτογράφησης που θεωρείται το χρυσό πρότυπο για την ασφάλεια ηλεκτρονικού ταχυδρομείου και αναπτύχθηκε για πρώτη φορά το 1991. Το κρυπτογραφημένο ηλεκτρονικό ταχυδρομείο, το οποίο συχνά πωλείται ως ένα είδος αόρατης ασπίδας από πάρα πολλούς εμπειρογνώμονες ασφάλειας, έγινε πιο μαζικό στη χρήση του μετά τις αποκαλύψεις του Έντουαρντ Σνόουντεν σχετικά με την ηλεκτρονική επιτήρηση από την αμερικανική κυβέρνηση τον Ιούνιο του 2013. Αλλά το κρυπτογραφημένο ηλεκτρονικό ταχυδρομείο δεν είναι τέλειο, όπως δεν είναι και κανένα άλλο ηλεκτρονικό σύστημα ασφάλειας.

Από την πλευρά της, η κοινότητα υπέρ της «προστασίας προσωπικών δεδομένων» επιμένει ότι αυτή η ευπάθεια είναι υπερβολική και ότι οι άνθρωποι αντιδρούν υπερβολικά. Ο Βέρνερ Κόκ, της GNU Privacy Guard, δήλωσε ότι οι δύο τρόποι για να μετριάσουμε τις πιθανές επιθέσεις είναι απλά να μην χρησιμοποιήσουμε τα HTML ηλεκτρονικά ταχυδρομεία και να χρησιμοποιήσουμε επικυρωμένη κρυπτογράφηση, κάτι που σημειώνεται στο έγγραφο.

Ωστόσο, σε πρόσφατο tweet η GNU Privacy Guard τονίζει «Η έρευνα δείχνει ότι mail clients που δεν ελέγχουν σωστά για λάθη στην αποκρυπτογράφηση κρύβουν τον κίνδυνο να σερβίρουν κακόβουλους συνδέσμους σε μηνύματα HTML, έτσι η ευπάθεια είναι στους email clients και όχι στα πρωτόκολλα».

Μπορείτε να διαβάσετε περισσότερα για το τι λένε οι ερευνητές για την ευπάθεια του EFAIL στη διεύθυνση https://efail.de/.

Το EFF έχει οδηγούς για το πώς να απενεργοποιήσετε το PGP στο Apple Mail, στο Outlook και στο Thunderbird. Τι μπορείτε να χρησιμοποιήσετε ως εναλλακτική λύση; Το EFF λέει ότι δεν υπάρχουν αξιόπιστες εναλλακτικές λύσεις και συνιστά ως εναλλακτική λύση ασφαλείας το Signal για κρυπτογραφημένα end-to-end κείμενα ή τηλεφωνικές κλήσεις. Καλό θα ήταν, βέβαια, να γνωρίζετε ότι τίποτα δεν είναι απολύτως ασφαλές.

Τech & Science

Tags

0

ΣΧΕΤΙΚΑ ΑΡΘΡΑ

ΔΙΑΒΑΖΟΝΤΑΙ ΤΩΡΑ

ΔΕΙΤΕ ΑΚΟΜΑ

Το YouTube λέει στους διαφημιστές: «Εμείς είμαστε η νέα τηλεόραση»

TV & Media / «Εμείς είμαστε η νέα τηλεόραση» λέει το YouTube

Στο φετινό Brandcast, το YouTube παρουσίασε νέες σειρές με τον Τρέβορ Νόα, την Άλεξ Κούπερ, τον Καρίμ Ράχμα, τον Ντουέιν Γουέιντ και μερικούς από τους πιο αναγνωρίσιμους δημιουργούς του διαδικτύου. Το μήνυμα ήταν σαφές: αυτό που κάποτε λέγαμε "βλέπω YouTube" αρχίζει να μοιάζει όλο και περισσότερο με κανονικό τηλεοπτικό πρόγραμμα, μόνο που δεν περνά πια από τα παραδοσιακά κανάλια.
THE LIFO TEAM
Ο Πίτερ Τζάκσον στις Κάννες: «Η τεχνητή νοημοσύνη είναι απλώς ένα ειδικό εφέ»

Τech & Science / Ο Πίτερ Τζάκσον στις Κάννες: «Η τεχνητή νοημοσύνη είναι απλώς ένα ειδικό εφέ»

Μετά τον τιμητικό Χρυσό Φοίνικα, ο σκηνοθέτης του Άρχοντα των Δαχτυλιδιών μίλησε για την AI, τα δικαιώματα των ηθοποιών, τον Γκόλουμ του Άντι Σέρκις και το νέο The Hunt for Gollum. ΚΕΙΜΕΝΟ
THE LIFO TEAM
ΕΓΚΕΦΑΛΟΣ ΓΗΡΑΝΣΗ

Τech & Science / Τρεις απολαυστικοί τρόποι να επιβραδύνετε τη γήρανση του εγκεφάλου σας

Ο ανθρώπινος εγκέφαλος «ακμάζει» μέσα από διάφορες προκλήσεις, αλλά δεν χρειάζεται να κάνετε πάντα σκληρή δουλειά για να αποκομίσετε τα οφέλη για την υγεία - Ακολουθούν τρεις απλοί και διασκεδαστικοί τρόποι για να προστατεύσετε τον εγκέφαλό σας καθώς μεγαλώνετε
THE LIFO TEAM
Cate Blanchett, George Clooney και Meryl Streep στηρίζουν νέο σύστημα συναίνεσης για την AI

Τech & Science / Η Κέιτ Μπλάνσετ, ο Τζορτζ Κλούνεϊ και η Μέριλ Στριπ στηρίζουν νέο σύστημα συναίνεσης για την AI

Η Κέιτ Μπλάνσετ συνιδρύει το RSL Media, έναν μη κερδοσκοπικό οργανισμό που θέλει να δώσει σε δημιουργούς και απλούς χρήστες έναν τρόπο να δηλώνουν αν επιτρέπουν ή απαγορεύουν τη χρήση της εικόνας, της φωνής και των έργων τους από συστήματα τεχνητής νοημοσύνης.
THE LIFO TEAM
Το ChatGPT στην Κίνα υπόσχεται να «σε κρατήσει με ασφάλεια» και έγινε meme

Τech & Science / Το ChatGPT στην Κίνα υπόσχεται να «σε κρατήσει με ασφάλεια» και έγινε meme

Στα αγγλικά το ChatGPT έχει τις παύλες, τα έτοιμα σχήματα και τις φράσεις που μυρίζουν AI από μακριά. Στα κινεζικά, οι χρήστες το κοροϊδεύουν επειδή επαναλαμβάνει μια παράξενα τρυφερή φράση, σαν να είναι έτοιμο να τους πιάσει αν πέσουν.
THE LIFO TEAM
Πώς γίνεσαι tech bro: Το Στάνφορντ ως εργοστάσιο των νέων δισεκατομμυριούχων

Τech & Science / Πώς γίνεσαι tech bro: Το Στάνφορντ ως εργοστάσιο εικοσάρηδων δισεκατομμυριούχων

Στο How to Rule the World, ο 21χρονος δημοσιογράφος Θίο Μπέικερ μπαίνει στον κλειστό κόσμο του Στάνφορντ, εκεί όπου επενδυτές, hackathons και ελίτ φοιτητικές λέσχες μαθαίνουν σε παιδιά είκοσι ετών να σκέφτονται σαν μελλοντικοί άρχοντες της Σίλικον Βάλεϊ. Το πιο παράλογο; Μερικοί παίρνουν χρηματοδότηση πριν σκεφτούν καν τι εταιρεία θέλουν να φτιάξουν.
THE LIFO TEAM
Η νέα βιτρίνα της μόδας βρίσκεται πια κάτω από το πόστ σου

Τech & Science / Η νέα βιτρίνα της μόδας βρίσκεται πια κάτω από το πόστ σου

Οι μάρκες μόδας και ομορφιάς δεν αρκούνται πια στο τέλειο post. Μπαίνουν όλο και πιο ενεργά στα σχόλια του Instagram και του TikTok, εκεί όπου η Gen Z ψάχνει προϊόντα, συγκρίνει γνώμες και αποφασίζει τι μπορεί να εμπιστευτεί. Το πιο υποτιμημένο σημείο των social media γίνεται η νέα βιτρίνα τους.
THE LIFO TEAM
Το SheerLuxe έφτιαξε AI influencers και οι αναγνώστριες δεν το συγχώρεσαν

Τech & Science / Το SheerLuxe έφτιαξε AI influencers και οι αναγνώστριες δεν το συγχώρεσαν

Η βρετανική πλατφόρμα μόδας και lifestyle παρουσίασε τέσσερις ψηφιακές influencers για συμβουλές ομορφιάς και styling στο Instagram, προκαλώντας έντονες αντιδράσεις. Οι αναγνώστριες κατηγόρησαν το SheerLuxe ότι προωθεί μη ρεαλιστικά πρότυπα ομορφιάς και αντικαθιστά πραγματικές γυναίκες με avatars που δεν μπορούν καν να δοκιμάσουν τα προϊόντα που προτείνουν.
THE LIFO TEAM

σχόλια

Συνδεθείτε για να σχολιάσετε