PGP-lek: HTML verklapt inhoud versleutelde e-mails
15-05-2018 | door: Redactie

PGP-lek: HTML verklapt inhoud versleutelde e-mails

Onderzoekers hebben meer info vrijgegeven over het probleem waarbij mails versleuteld met PGP en S/MIME kunnen worden ontcijferd door derden.

EFAIL, zoals het probleem wordt genoemd, laat hackers toe om versleutelde emails te ontcijferen als die zijn geëncrypteerd met PGP of S/MIME. Dat kan gebeuren door een speciaal ontworpen mail met HTML-inhoud te versturen. Die bevat een link en wanneer de mailbox van het slachtoffer contact maakt met die link, wordt de boodschap onversleuteld meegestuurd.

Twee stappen

De aanval bestaat uit twee onderdelen: eerst moet er een mail met een link in de HTML-code naar het slachtoffer worden verstuurd. De e-mailclient die dat bericht moet weergeven, gaat die link bezoeken, maar daarbij wordt de onversleutelde boodschap meegestuurd in het verzoek aan de server waar de link op uitkomt. De aanvaller kan dat verzoek in zijn of haar logs terugvinden.

In deel twee kan een aanvaller aangepaste datablokken meesturen die, wanneer ze worden gelezen door het slachtoffer, er voor zorgen dat de e-mailtoepassing onversleutelde delen van het bericht naar de server van de aanvaller sturen. Beide problemen krijgen de CVE-codes CVE-2017-17688 en CVE-2017-17689 mee.

Hoe te vermijden?

Het slechte nieuws is dat er momenteel geen waterdichte oplossing of patch is voor het probleem. Wel kan je relatief eenvoudig het risico beperken door HTML-berichten uit te schakelen in de instellingen van je e-mailprogramma. Ook je versleutelde berichten in een apart programma ontcijferen kan een aanval tegengaan.

De onderzoekers die het probleem ontdekken hebben intussen ook verschillende emailtools gecontacteerd om hen aan te zetten om te patchen. Op lange termijn hopen ze ook dat OpenPGP en de S/MIME standaarden een update krijgen.

Het goede nieuws is dat enkel mails die al in handen zijn van aanvallers te ontcijferen zijn. Hackers hebben dus al toegang tot je mailbox nodig, of kunnen de berichten bij het verzenden of ontvangen onderscheppen vooraleer ze ze ook kunnen ontcijferen.

Het werk is het resultaat van de Duitse onderzoekers Damian Poddebniak, Christian Dresen, Jens Müller, Fabian Ising, Sebastian Schinzel, Juraj Somorovsky, en Jörg Schwenk van de FH Münster en de Ruh Universität. Ook Simon Friedberger van de KU Leuven werkte mee aan het onderzoek. Op efail.de geven ze antwoord op de voornaamste vragen over het probleem en ook de technische paper met hun bevindingen staat intussen online.

In samenwerking met Datanews

Terug naar nieuws overzicht
Security