Идея атаки заключается в предварительном перехвате зашифрованного почтового сообщения и внедрения в него html-тега (например, img), ссылающегося на внешний ресурс и захватывающего при этом блок с зашифрованным текстом.

Первый вариант атаки использует уязвимые реализации почтовых клиентов (Apple Mail, iOS Mail, PostBox, MailMate и Thunderbird), которые при этом расшифровывают текст и прикладывают его к запрашиваемому внешнему url.

Второй вариант, который проще реализовать для S/MIME (в случае OpenPGP задача усложняется предварительным сжатием исходного текста), ориентирован на стандартное поведение почтовых клиентов и использует атаку по открытому тексту (как минимум стандартному Content-type: multipart/signed, за которым можно добавить нулей по вкусу) на режимы шифрования CBC и CFB.

Источник: EFAIL

теги: crypto, уязвимости  |  предложить новость  |  обсудить  |  все отзывы (0)

[8595]

назад «  » вперед

аналогичные материалы Рекордное число уязвимостей в 2021 // 28.05.22 21:06 Серьезная уязвимость в Apache Log4j // 11.12.21 12:13 WD уточнила причины проблем с My Book Live // 01.07.21 17:09 WD My Book начали избавляться от пользовательских данных // 25.06.21 04:32 400 уязвимостей в процессорах Snapdragon // 08.08.20 08:08 Число обнародованных уязвимостей упало на 20% // 30.05.20 02:21 Microsoft предупредила о двух незакрытых уязвимостях // 24.03.20 00:44

последние новостиBugTraq.Ru: последние новости Маск поддержал создателя Дилберта, обвиненного в расизме // 27.02.23 20:39 Утечка сертификатов GitHub Desktop и Atom // 31.01.23 21:59 С наступающим // 31.12.22 23:59 Очередной взлом LastPass: все хуже, чем казалось // 26.12.22 17:26 C++ обогнал Java в рейтинге популярности // 12.12.22 16:21 Умер Фредерик Брукс // 24.11.22 09:02 Обход андроидной блокировки // 14.11.22 23:57