加密變泄密？PGP/GPG和S/MIME漏洞使用戶電郵「裸奔」！

近日，Canthink網路安全攻防實驗室發現使用電子郵件加密軟體中PGP/GPG和S/MIME標準存在一個嚴重的安全漏洞，這個代號為EFAIL的漏洞如果被利用，將允許攻擊者從發送或接受的消息中提取明文內容，目前還沒有可靠的修復補丁。

對此，Canthink安全研究員建議用戶暫時停止使用OpenPGP和S/MIME，並切換至用於發送加密數據的其他解決方案：急需使用加密來保護其通信通道的用戶最好使用支持端到端加密的即時通訊客戶端。「EFAIL攻擊利用OpenPGP和S/MIME標準中的漏洞以揭示加密電子郵件的明文，簡而言之，就是濫用HTML電子郵件的活動內容，例如外部載入的圖像或樣式，通過請求的URL來滲透明文。「

「要創建這些滲透通道，攻擊者首先需要訪問加密的電子郵件，例如通過竊聽網路流量，入侵電子郵件帳戶及伺服器、備份系統或計算機客戶端，且這些電子郵件可能在幾年前便已收集。「

據悉，客戶端中的最受歡迎的幾款電子郵件加密插件均被查出存在此安全漏洞，其中包括帶有Enigmail的Thunderbird，帶有GPGTTools的Apple Mail以及帶有Gpg4win的Outlook。

Canthink安全研究員表示，「我們建議立即禁用或卸載自動解密PGP加密電子郵件的工具，不過這只是受危害的直接風險過去並被能被更廣泛地減輕為止的暫時、保守的權宜之計，而補丁也只有在其可用時才能恢復到之前的配置。」

此外，研究人員還指出，OpenPGP和S/MIME標準需要更新以確保其不受EFAIL攻擊，但這需要一些時間。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！