Phát hiện lỗ hổng trong công cụ mã hóa email PGP/GPG và S/MIME

Các nhà nghiên cứu bảo mật vừa phát hiện lỗ hổng trong công cụ mã hóa email PGP/GPG và S/MIME. Theo đó lỗ hổng này có thể được sử dụng bởi các tác nhân độc hại để truy cập plaintext của email được mã hóa và các nội dung được gửi trong quá khứ

Sebastian Schinzel, giáo sư bảo mật máy tính vừa cảnh báo về lỗ hổng này trên Twitter, khuyến cáo người dùng đang sử dụng các hệ thống mã hóa này nên vô hiệu hóa và chuyển sang sử dụng các giải pháp thay thế khác để gửi dữ liệu mã hóa, bao gồm các nền tảng nhắn tin như Signal.

Dự kiến ban đầu lỗ hổng sẽ được công bố vào hôm thứ 3. Tuy nhiên nhóm các nhà nghiên cứu quyết định công bố bản phân tích chuyên sâu về lỗ hổng vào hôm nay trên trang web có tên là EFAIL, đây cũng là tên mà các chuyên gia bảo mật sử dụng để mô tả tính dễ bị tổn thương.

phat hien lo hong trong cong cu ma hoa email pgp gpg va s mime

Phát hiện lỗ hổng trong công cụ mã hóa email PGP/GPG và S/MIME

Theo các nhà nghiên cứu giải thích: "Các cuộc tấn công EFAIL khai thác các lỗ hổng trong các chuẩn OpenPGP và S/MIME để tiết lộ plaintext trong các email được mã hóa. Nói tóm lại, EFAIL lạm dụng nội dung hoạt động của các email HTML, chẳng hạn như hình ảnh được tải bên ngoài để làm rò rỉ plaintext thông qua requested URL".

"Để tạo các kênh này, trước hết kẻ tấn công cần truy cập các email được mã hóa, chẳng hạn như bẳng cách nghe lén lưu lượng truy cập mạng, xâm phạm tài khoản email, máy chủ email, hệ thống sao lưu hoặc máy tính khách. Thậm chí các email này có thể đã được thu thập từ nhiều năm trước".

Các chuẩn cần được cập nhật

Electronic Frontier Foundation vừa đăng tải bài đăng trên blog cảnh báo người dùng về lỗ hổng, giải thích các plugin mã hóa trong các ứng dụng phổ biến nhất bị rò rỉ, bao gồm Thunderbird với Enigmail, Apple Mail với GPGTTools và Outlook với Gpg4win.

EFF cho biết: "Chúng tôi khuyên cáo người dùng vô hiệu hóa hoặc gỡ bỏ cài đặt các công cụ tự động giải mã các email được mã hóa PGP", và nhấn mạnh người dùng chỉ nên quay lại sử dụng các cấu hình trước đó khi có sẵn các bản vá.

Ngoài ra các nhà nghiên cứu cũng lưu ý các chuẩn OpenPGP và S/MIME cần được cập nhật để chống lại các cuộc tấn công EFAIL, nhưng nhấn mạnh quá trình này sẽ mất một khoảng thời gian.

Người dùng hòm thử điện tử cần tiến hành sử dụng các biện pháp để thực hiện bảo vệ cho dữ liệu thông tin của mình, với người dùng gmail, ngoài việc đặt mật khẩu phức tạp thì bảo mật 2 lớp cũng rất quan trọng, tiến hành các bước cập nhật xác minh bảo mật 2 lớp gmail tại đây để nâng cao bảo mật cho hòm thư của mình.

https://thuthuat.taimienphi.vn/phat-hien-lo-hong-trong-cong-cu-ma-hoa-email-pgp-gpg-va-s-mime-35347n.aspx
Mặc dù là một trong những trình diệt virus được đánh giá là tốt nhất hiện nay, nhưng dường như hệ điều hành Windows 10 April 2018 Update còn mới và đội ngũ phát triển Avast chưa thể tối ưu khả năng tương thích với hệ điều hành này mà Avast Antivirus là thủ phạm gây ra các sự cố trên Windows 10 April 2018, gây ra không ít phiền toái cho người dùng.

Tác giả: Nguyễn Hải Sơn     (4.0★- 14 đánh giá)  ĐG của bạn?

  

Bài viết liên quan

Phát hiện lỗ hổng nghiêm trọng trong thư viện phát trực tuyến trên VLC
Adobe phát hành bản vá lỗ hổng Zero-Day trong Flash Player
Cảnh báo lỗ hổng Bluetooth mới có thể hack điện thoại người dùng trong vòng 10 giây
Phát hiện lỗ hổng mới trong ứng dụng Signal Desktop cho phép hacker đánh cắp tin nhắn
Cảnh báo lỗ hổng PortSmash mới có thể đánh cắp các khóa giải mã
Từ khoá liên quan:

Phát hiện lỗ hổng trong công cụ mã hóa email PGP/GPG và S/MIME

, lỗ hổng trong công cụ mã hóa email PGP/GPG và S/MIME, EFAIL,

Tin Mới

  • Bing Translator - Dịch nhanh văn bản trên Word

    Bạn có thể dịch văn bản trực tiếp trong Word bằng công cụ Bing Translator, giúp tiết kiệm thời gian mở các phần mềm dịch khác. Cách dịch nhanh văn bản trên Word bằng Bing Translator sẽ được Taimienphi.vn hướng dẫn cụ

  • Adobe sắp phát hành Photoshop phiên bản web miễn phí cho tất cả người dùng

    Adobe hiện đang thử nghiệm phiên bản Photoshop Online miễn phí cho tất cả người dùng. Bản dùng thử hiện giới hạn cho người dùng ở Canada nhưng sẽ sớm mở rộng cho người dùng ở các khu vực khác. Hiện tại người dùng ở Canada có thể truy cập Photoshop trên web thông qua tài khoản Adobe miễn phí.

  • Facebook Messenger có phiên bản trên Web rất tiện dụng

    Ngay từ lúc ra mắt, Facebook Messenger phiên bản web đã được nhiều người lựa chọn bởi tính năng tiện dụng, đáp ứng được người dùng. Thay vì truy cập vào Facebook, bạn hoàn toàn có thể sử dụng trò chuyện dễ dàng. Chúng ta cùng trải nghiệm phiên bản Facebook Messenger trên Web này nhé.

  • Hướng dẫn cách đăng ký tài khoản VNEID trên điện thoại

    Đăng ký tài khoản VNEID là bước quan trọng để trải nghiệm toàn bộ dịch vụ của VNEID, ứng dụng định danh điện tử công dân số quốc gia Việt Nam có giá trị sử dụng thay thế các giấy tờ truyền thống. Người dùng cần đăng ký VNEID và kích hoạt tài khoản VNEID các mức độ, xác thực thông tin để truy cập các dịch vụ trực tuyến, thực hiện thủ tục hành chính.