Apple Mail i Mozilla Thunderbird mają kolejny problem. Badacze odkryli luki w renderowaniu HTML w aplikacjach. Pozwala ona wyodrębnić zwykły tekst z zaszyfrowanych wiadomości pocztowych. Innymi słowy – wiadomości prywatne przestają być już prywatne.
Podczas gdy większość wiadomości e-mail jest wysyłana w formie niezaszyfrowanej, wiele firm i osób wciąż korzysta z zaszyfrowanej komunikacji e-mail. Robią to po to, by rozmawiać prywatnie. Nowe luki bezpieczeństwa podważają jednak bezpieczeństwo rzekomo prywatnych rozmów e-mailowych.
Podstawowym problemem dotyczącym Apple Mail czy Thunderbird jest metoda wykorzystująca odpowiedzi wieloczęściowych w celu wykorzystania problemów z renderowaniem HTML. Jeśli atakujący uzyska zaszyfrowaną treść e-mail od osoby, możliwe jest wysłanie tego zaszyfrowanego tekstu do użytkownika i ujawnienie odszyfrowanej postaci jawnego tekstu bez konieczności uzyskania dostępu do prywatnych kluczy szyfrowania od nadawcy.
Apple Mail i Mozilla Thunderbird czekają na aktualizacje
Atak polega przede wszystkim na skontaktowaniu się z tą samą osobą, która wysłała zaszyfrowaną wiadomość e-mail. Nie ma możliwości wysłania wiadomości e-mail do osoby niebędącej w pobliżu, a serwer otrzymuje strumień odszyfrowanych treści. Jeśli obawiasz się, że ten błąd dotyczy również twoich wiadomości, możesz wyłączyć opcję ładowania zdalnej zawartości.
Apple z pewnością już opracowuje łatkę, jednak zanim uaktualnienie dojdzie do skutku, warto sobie z tym problemem radzić w inny sposób. Bardziej ekstremalną miarą jest możliwość całkowitego usunięcia kluczy PGP z klienta pocztowego, co uniemożliwi aplikację odszyfrowania zakodowanych ciągów. Firmy jeszcze nie odniosły się do problemu.
Zobacz również: Co zobaczymy w iOS 12?
Źródło: 9to5google