Исследователи нашли критические уязвимости в популярных протоколах шифрования электронной почты PGP и S/MIME

Они популярны среди журналистов, корпораций и правительств.

Группа исследователей по кибербезопасности из трёх европейских университетов сообщили о новых уязвимостях в основных протоколах шифрования электронной почты. Благодаря атаке злоумышленники могут внедрить вредоносный код в перехваченные письма и украсть переписку из почтового ящика пользователя.

Уязвимость касается протоколов шифрования PGP и S/MIME, и позволяет злоумышленникам получить доступ в том числе и к тем сообщениям, которые были отправлены в прошлом. Успешность атаки зависит от реализации протокола в конкретной программе-клиенте.

Однако эксперты отметили, что многие популярные почтовые клиенты уязвимы, среди них Apple Mail, приложение Mail на iOS, а также Thunderbird и Outlook. Если сообщение было отправлено через эти программы и злоумышленники его перехватили, то благодаря уязвимости они могут добавить в письмо вредоносный HTML-код, ещё до того, как оно дойдёт получателю. Когда он откроет сообщение, этот код отправит злоумышленнику открытый текст сообщения.

Как отметило издание The Verge, шифрование S/MIME популярно среди корпораций и правительства, поэтому атака может затронуть многие существующие системы. Эксперты пояснили, что пока от уязвимости можно защититься только одним способом — не использовать шифрованную почту. Компаниям посоветовали отключить автоматическое шифрование сообщений на собственных серверах.

В правозащитной организации EFF (Electronic Frontier Foundation) также рекомендовали прекратить использовать PGP и S/MIME и перейти на мессенджеры c оконечным шифрованием. Подробную информацию об уязвимости пообещали опубликовать 15 мая.

#уязвимости #технологии