В Apple Mail найдена уязвимость позволяющая читать зашифрованные письма

Об этом пишет Reuters.

Ее нашла группа, состоящая из 9-ти профессионалов. Об уязвимости под названием EFAIL передала группа исследователей из Мюнстерского университета прикладных наук.

Ученые сообщили, что опубликуют не менее исчерпывающую информацию 15 мая.

«Как только жертва откроет письмо в своем почтовом клиенте, подставной шифротекст будет расшифрован: сначала приватный ключ жертвы будет использован для расшифровки ключа сессии s, а потом ключ сессии будет использован для расшифровки подставного шифротекста c».

Специалист ссылается на сообщение в блоге Фонда электронных рубежей (Electronic Frontier Foundation), опубликованное в субботу вечером. EFF призвала временно отказаться от использования PGP и S/MIME и перейти на защищённые мессенджеры, например, Signal.

1-ый вариант атаки использует уязвимые реализации почтовых клиентов (Apple Mail, iOS Mail, PostBox, MailMate и Thunderbird), которые при всем этом расшифровывают текст и прикладывают его к запрашиваемому наружному url. Создатели Thunderbird, в свою очередь, сообщают, что патч для Efail готов и cейчас проходит тестирование (релиз должен состояться на этой неделе).

Роберт Гансен, разработчик дополнения Enigmail для шифрования в почтовом клиенте Mozilla Thunderbird, посоветовал не поддаваться панике и вовремя обновлять сервис. По утверждению профессионалов, результативной защиты от бага на текущий момент нет, поэтому лучше просто удалить системы из почтовых клиентов. Новые версии GnuPG с 2000 года оборудованы стандартом Modification Detection Code (MDC), который предотвращает атаки, описанные Шинцелем и коллегами, объяснил он.

...