AppleMail中的HTML渲染漏洞可以以纯文本显示加密邮件

关强薇
导读 今天上午详细介绍了iOS和macOS的Apple Mail中发现的HTML渲染漏洞。这些漏洞使得肆无忌惮的攻击者能够从加密的电子邮件中获取解密的纯文

今天上午详细介绍了iOS和macOS的Apple Mail中发现的HTML渲染漏洞。这些漏洞使得肆无忌惮的攻击者能够从加密的电子邮件中获取解密的纯文本。计算机安全教授塞巴斯蒂安辛泽尔(Sebastian Schinzel)昨天发表了一篇关于这个漏洞的研究论文,名为EFAIL。

这个漏洞的全部含义是什么?

简而言之,这个漏洞允许攻击者在没有发送者私有加密密钥的情况下显示某人加密邮件的明文,包括过去发送的加密邮件。为了继续攻击,邪恶的一方必须有你的加密的S/MIME或PGP电子邮件。

它涉及到特殊图像标签和一串加密文本的使用。这种组合将使iOS和macOS的Apple Mail解密加密邮件的内容。加密的电子邮件将提示客户端从攻击者控制的域中加载指定的图像,这使他们能够获得解密电子邮件的副本。

这个问题也影响到Mozilla雷鸟电子邮件客户端的用户。

有多严重?

本杰明梅奥讨论了这一缺陷的潜在后果:

攻击依赖于首先联系发送加密电子邮件的同一个人。无法向某人发送电子邮件以让服务器接收解密的内容流。如果邮件是群聊的一部分,它可能会破坏通信,因为攻击者只需要锁定链中的一个人就可以解密。

除了HTML渲染的问题,研究人员还发布了更多S/MIME标准规范本身的技术利用,这不仅影响了苹果,还影响了20多家客户。从长远来看,全面修复这一特定漏洞需要更新基本的电子邮件加密标准。

前沿电子基金会对此表示敬意:

EFF一直与研究团队保持联系,并可以确认这些漏洞对那些使用这些工具进行电子邮件通信的人构成了直接风险,包括潜在暴露过去新闻的内容。

此错误仅影响使用PGP/GPG和S/MIME电子邮件加密软件的用户,这使得没有加密密钥的邮件不可读。商业用户通常依靠加密来防止他们的电子邮件通信被窃听。

然而,大多数电子邮件是不加密的。

如何保护自己?

临时解决办法:在Mac OS mail中删除苹果的GPGTools/GPGMail加密插件(来自/library/mail/bundle或/library/mail/bundle的垃圾GPGMail.mailbundle)。

作为更极端的措施,请禁用emote内容获取:在Mail中切换“在Mail中加载远程内容”以获取macOS偏好设置,在Mail中切换“加载远程图像”以获取iOS。

苹果可能会针对这一严重缺陷发布紧急修复程序,因此请密切关注这一空间,因为我们承诺会让您陷入困境。

同时,请在下面留下评论,让我们知道你对苹果邮件和其他电子邮件客户端新发现的漏洞的看法。

标签:

免责声明:本文由用户上传,如有侵权请联系删除!