事件通告:E-mail 存在 EFAIL 弱點,可使加密郵件以明文曝光,建議請儘速檢查並安裝修補程式!
2018/05/17
風險等級: 高度威脅
摘  要: 【弱點說明】

EFAIL 利用 HTML 電子郵件的使用行為,像是外部載入的圖像或是樣式,通過請求 URL 來滲透郵件明文。

歐洲的資安研究人員發佈一系列 E-mail 端到端加密技術 OpenPGP 和 S/MIME 的弱點警告,這個弱點被稱為 EFAIL,能使加密的電子郵件以明文的形式曝露給駭客,這個弱點會對使用 E-mail 的用戶造成直接威脅,而歷史郵件也存在暴露的風險。

【影響範圍】

  • 使用 OpenPGP 以及 S/MIME 加密之電子郵件

【細節描述】

駭客需先存取加密信件,通常以竊聽網路流量或是入侵 E-mail 帳號、E-mail 伺服器、備份系統以及客戶端電腦,而這些系統可能存有數年的歷史郵件。駭客以特殊的格式將已加密的段落加上 HTML 的標籤,並將更改後的加密郵件發送給受害者,受害者在客戶端解密郵件且載入外部 HTML 內容後,使加密訊息以明文回傳至駭客,進而造成機敏郵件資訊外洩等。

【建議措施】

1.建議立即在客戶端禁用 OpenPGP 和 S/MIME 加密技術,也不要閱讀以 PGP (Pretty Good Privacy) 加密的郵件。
2.建議不要進行 E-mail 客戶端信件的解密,且刪除客戶端電子郵件中保存的私鑰,並將密文複製至其他單獨的應用程式進行解密。
3.建議以純文字方式開啟信件,避免以 HTML 讀取信件。

【更新紀錄】

  • v1.0 (2018/05/17):發佈事件通告。

參考資訊:


iThome (2018/05/15)
The Hacker News (2018/05/14)
US-Cert (2018/05/14)
Security tracker (2018/05/14)
Security tracker (2018/05/14)
Security tracker (2018/05/14)