I difetti di sicurezza che si trovano in Apple Mail possono rivelare l’e-mail crittografata come testo in chiaro


I ricercatori hanno trovato difetti nel rendering HTML di Apple Mail su Mac e iOS, oltre a Mozilla Thunderbird, che consente agli aggressori di estrarre il testo in chiaro decrittografato da messaggi di posta elettronica crittografati.

Mentre la maggior parte della posta elettronica viene inviata non crittografata, molte aziende e persone si affidano alle comunicazioni e-mail crittografate S / MIME e PGP per parlare in privato. Questi fori di sicurezza appena pubblicati minano la sicurezza delle conversazioni e-mail presumibilmente private.

Il problema principale che riguarda Apple Mail, iOS Mail e il client Thunderbird di Mozilla, è un metodo che utilizza risposte multipart per sfruttare i problemi di rendering HTML.

Se un utente malintenzionato ottiene contenuti di posta elettronica crittografati da una persona, è possibile inviare tale testo crittografato all’utente e rivelare il modulo di testo in chiaro decrittografato senza aver mai avuto accesso alle chiavi di crittografia private del mittente.

In sostanza, un utente malintenzionato invia tre parti: una dichiarazione tag HTML parziale, una stringa di testo crittografato, seguita dal codice HTML di chiusura per il tag immagine. Ciò si traduce nel client di posta che decodifica il testo cifrato e lo rende come l’URL di origine dell’immagine falsa.

Quando la persona apre l’email sul proprio client locale, tenterà di recuperare l’URL per caricare l’immagine. Il server dell’aggressore registra la richiesta e ora ha una copia del contenuto decrittografato. Ovviamente, il dominio dell’URL è controllato dall’attaccante per raggiungere questo obiettivo; ‘efail.de’ in questo esempio.

Questo difetto nell’app per Mac Mail di Apple e Mail per iPhone e iPad, può essere risolto con un aggiornamento software che è senza dubbio già in lavorazione. È importante notare che questo exploit è utile solo se un individuo senza scrupoli ha già accesso alle e-mail S / MIME o PGP crittografate.

L’attacco si basa sul contatto della stessa persona che ha inviato l’e-mail crittografata in primo luogo. Non è possibile inviare email a qualcuno in modo inaspettato e fare in modo che un server riceva un flusso di contenuti decrittografati. Il potenziale di comunicazioni compromesse aumenta se l’e-mail fa parte di una conversazione di gruppo, in quanto l’autore dell’attacco deve rivolgersi solo a una persona nella catena per ottenere la decrittografia.

Se sei preoccupato di essere preso di mira da questo, puoi disabilitare il caricamento dei contenuti remoti come una mitigazione prima che Apple aggiorni ufficialmente le sue app per chiudere la scappatoia. Per Apple Mail su Mac, questo è un interruttore etichettato “Carica contenuto remoto nei messaggi” in Preferenze Mail. Su iOS, questa impostazione è denominata ‘Carica immagini remote’, disponibile in Impostazioni iOS. Come misura più estrema, è possibile rimuovere completamente le chiavi PGP dal client di posta elettronica, impedendo all’app di decrittografare le stringhe codificate.

Oltre al problema del rendering HTML, i ricercatori EFAIL hanno anche pubblicato un exploit più tecnico della specifica S / MIME stessa che interessa oltre venti client oltre a quelli di Apple. Questo è un difetto molto più tecnico; puoi leggerlo in dettaglio sul sito EFAIL . A lungo termine, l’applicazione completa di questa particolare vulnerabilità richiederà un aggiornamento degli standard di crittografia e-mail sottostanti.

Lascia un commento