Säkerhetshål i krypteringsverktyg för mejl har upptäckts

SÄKERHET. Ett säkerhetshål har upptäckts i krypteringsverktygen PGP (Pretty Good Protection) och S/MIME som kan användas som ett extra skydd mot otillbörlig intrång till mejlkonversationer.

Det var Sebastian Schinzel, professor vid Münsters universitet i Tyskland, som på Twitter meddelade att han och andra forskare hade påträffat detta allvarliga säkerhetshål som gör det möjligt för eventuella hackare att kunna avkryptera och få ut hela mejlkonversationer.

Schinzel uppmanar användarna till dessa krypteringsverktyg att avaktivera dem då det i nuläget inte finns någon lösning på problemet.

Protonmail som använder sig utav krypteringsverktyget PGP har på Twitter meddelat att dem själva inte har drabbats.

Electronic Frontier Foundation (EFF) meddelar att man kan använda sig utav andra krypteringstjänster istället så som exempelvis ”Signal”.

Uppdatering från Nordiska motståndsrörelsens IT-grupp: Sårbarheten finns i sättet epostklienter hanterar s.k. ”bakkanaler” som HTML kod och alltså inte i PGP protokollet. Det som sker är att ett meddelande som injicerats med en skadlig länk i mejlets okrypterade del gör att precis efter det dekrypteras så ansluter epostklienten till länken och skickar med det dekrypterade meddelandet dit. GPG/PGP har ett inbyggt skydd mot manipulering av innehållet i epostmeddelandet som heter MDC (Modification Detection Code) och detta förhindrar att denna sårbarhet utnyttjas, åtminstone i de fall GPG/PGP verktygen respekterar när en varning för manipulering har skett.

Det ska alltså mycket till för att drabbas av denna sårbarhet. De säkerhetsanalytiker som har släppt rapporten har kritiserats av utvecklarna för kända GPG verktyg som GnuPG, Gpg4Win & Enigmail för att vara senastionslystna och blåsa upp detta som ett större problem än vad det egentligen är. Ett officiellt pressutlåtande har släppts och kan läsas här.

Användare rekommenderas att:
* Ändra inställningen i din epostklient till att enbart visa och skicka epostmeddelanden i klartext (plaintext only).
* Deaktivera hämtning av fjärrinnehåll (remote content) d.v.s. bilder och dylikt.
* Uppdatera epostklienten och GPG/PGP verktyget till den senaste versionen och håll utkik efter nya uppdateringar.

Källa:
EFAIL
Sebastian Schinzels Twitter
Protonmails Twitter
Officiellt pressutlåtande från utvecklare

Dela artikeln på sociala medier:

Kommentarerna är efterhandsmodererade. Den som kommenterar är själv juridiskt ansvarig för innehållet i kommentaren. För att delta i diskussionen, läs våra regler här och läs våran guide för att skapa ett konto här.

Lämna en kommentar

Please Login to comment
  Subscribe  
Meddela om