นักวิจัยพบช่องโหว่ในการเข้ารหัสอีเมลที่ยอดนิยมถึงสองโปรโตคอล

0
https://cdn.vox-cdn.com/thumbor/NttFu--ksE-wCC9CyI2a6JCfKhI=/0x0:2040x1360/1220x813/filters:focal(857x517:1183x843)/cdn.vox-cdn.com/uploads/chorus_image/image/59726653/acastro_170629_1777_0008_v2.0.jpg

ทีมวิจัยด้านความมั่นคงชาวยุโรปได้พบช่องโหว่ใหม่ในรูปแบบทั่วไปของการเข้ารหัสอีเมล โดยจากรายงานเมื่อวันจันทร์เช้าที่ผ่านมา การโจมตีจะเป็นการอนุญาตให้ผู้ไม่ประสงค์ดีสามารถใส่โค้ดที่ไม่ประสงค์ดี (malicious code) ลงไประหว่างดักจับอีเมลแม้ว่าการเข้ารหัสของโปรโตคอลนั้นจะถูกออกแบบมาเพื่อป้องกันการใส่โค้ดดังกล่าวแล้วก็ตาม เหนือไปกว่านั้นหากพัฒนาได้ถูกต้อง โค้ดดังกล่าวจะสามารถนำมาใช้เพื่อขโมยข้อมูลทั้งหมดจากกล่องข้อความ (inbox) ของผู้ใช้ปลายทางได้เลยทีเดียว

ช่องโหว่ดังกล่าวนี้ได้ส่งผลกระทบกับ 2 โปรโตคอลการเข้ารหัสอีเมลที่ใช้กันโดยทั่วไปมากที่สุด นั่นคือ PGP (Pretty Good Privacy) และ S/MIME (Secure/Multipurpose Internet Mail Extensions) แม้ว่าระดับความเสี่ยงจะขึ้นอยู่กับการพัฒนาโปรโตคอลของ client ก็ตาม ก็ยังคงมีหลายๆ client ที่พบช่องโหว่ รวมทั้ง Apple Mail, Mail app บน iOS และ Thunderbird อย่างไรก็ดีตอนนี้มีระบบเข้ารหัสข้อความโดยการยืนยันตัวตน (authentication) จำนวนมากซึ่งสามารถป้องกันการโจมตีนี้ได้

หากอีเมลที่เข้ารหัสโดยใช้ client เหล่านั้นถูกดักจับในระหว่างการส่ง ผู้ไม่ประสงค์ดีจะใช้ช่องโหว่นี้ในการแก้ไขอีเมลโดยใส่โค้ด HTML ที่ไม่ประสงค์ดีลงไปก่อนส่งต่อให้กับเป้าหมาย และเมื่อเป้าหมายเปิดอีเมลใหม่นี้ โค้ดดังกล่าวจะถูกใช้เพื่อส่งข้อมูลในอีเมลเป็น plaintext กลับไป

Server ขององค์กรจำนวนมากยังคงใช้การเข้ารหัสแบบ S/MIME อยู่ ดังนั้นการโจมตีจึงดูมีความเสี่ยงต่อระบบในปัจจุบันเป็นอย่างมาก

ซอฟต์แวร์ open source ชื่อ GNU Privacy Guard เขียนว่า “มี 2 ทางในการที่จะบรรเทาการโจมตีครั้งนี้ได้คือไม่ใช้อีเมลที่เป็นแบบ HTML หรือใช้การเข้ารหัสโดยการยืนยันตัวตน (authentication)”

คุณ Sebastian Schinzel ศาสตราจารย์ด้านความมั่นคงคอมพิวเตอร์ที่มหาวิทยาลัย Münster University of Applied Sciences‏ ผู้ตีพิมพ์งานวิจัยได้เขียนแจ้งเตือนบน Twitter ว่า “ตอนนี้ยังไม่มีการแก้ไขที่น่าเชื่อถือสำหรับช่องโหว่นี้” โดยเขาแนะนำให้ผู้ใช้ปิดการเข้ารหัสบน client ที่ใช้งานอยู่ถ้าหากมีการใช้งานโปรโตคอล GPG สำหรับการส่งข้อมูลที่มีความลับ ซึ่งมูลนิธิ Electronic Frontier Foundation เรียกมาตรการนี้ว่า “วิธีการชั่วคราวแบบดั้งเดิมในการปิดรูรั่ว” จนกว่าจะมีการแก้ไขปัญหานี้ได้จริง

Source : https://www.theverge.com/2018/5/14/17351684/email-encryption-attack-thunderbird-apple-mail-malicious-code-vulnerable