Bajban vannak a titkosítva levelezők
További Tech cikkek
-
Olyat hibát produkál a Windows, hogy garantáltan mindenki kiugrik a székéből - Könnyen megeshet, hogy a Google kénytelen lesz eladni a Chrome-ot
- A Huawei hivatalosan is bejelentette, előrendelhető a Mate 70
- Lesöpörheti Elon Musk X-ét a Bluesky, már a Google is relevánsabbnak találja
- Ezek a leggyakrabban használt jelszavak – érdemes változtatni, ha ön is használja valamelyiket
Bárki, aki PGP vagy S/MIME titkosítással szokott emailt küldeni és fogadni, jobban teszi, ha felfüggeszti ezt a fajta kommunikációt, máskülönben illetéktelenek is hozzáférhetnek a levelezéséhez, még a korábbi üzenetekhez is. Ezt a meglehetősen aggasztó hírt egy német biztonsági szakértő közölte vasárnap:
We'll publish critical vulnerabilities in PGP/GPG and S/MIME email encryption on 2018-05-15 07:00 UTC. They might reveal the plaintext of encrypted emails, including encrypted emails sent in the past. #efail 1/4
— Sebastian Schinzel (@seecurity) 2018. május 14.
A gond nem magával a titkosítással van (a titkosszolgálatok legnagyobb bánatára), hanem azokkal a segédprogramokkal (pluginokkal), amiket a levelezőszoftverhez telepítve használnak a PGP- és S/MIME-felhasználók. A pluginokkal kapcsolatos súlyos sérülékenységet kihasználva rosszindulatú hekkerek gyakorlatilag hozzáférhetnek a levelezés egyszerű szöveges, titkosítatlan szövegeihez.
A PGP-titkosítást használó webes levelezőrendszerek (mint pl. a Protonmail) ugyanakkor úgy tűnik, hogy nem érintettek. A svájci cég Twitterén azt írta, hogy a sebezhetőség a különféle PGP-kliensekben található implementációs hibákból ered, maga a PGP tökéletesen működik. A Protonmail egy tanulmányt is linkelt az üggyel kapcsolatban, ezt itt [pdf] lehet elolvasni, emellett pedig arra hívták fel a figyelmet, hogy felelőtlenség arra biztatni az embereket, hogy hagyjanak fel a titkosítás használatával.
A titkosítási sérülékenységről hamarosan részletes jelentést adnak ki, addig is azt javasolja Sebastian Schinzel, a münsteri műszaki egyetem IT-biztonsági laborjának vezetője, hogy aki plugin segítségével használta ezt a kétféle titkosítást, azonnal kapcsolja ki a plugint és lehetőség szerint törölje is a számítógépéről. Ehhez segítséget is nyújtanak:
Amíg nem lesz teljesen világos, hogy miben áll a most felfedezett sérülékenység lényege és miképp lehet védekezni ellene, a titkosított levelezés átmeneti teljes felfüggesztését és a kriptokommunikáció más csatornáit (pl. titkosított csevegőappok, stb) javasolják a szakértők.
Nyitókép: Michael Rogers, az NSA (National Security Agency) igazgatója a levelezését csekkolja a 2015-ös Cybersecurity Technology Summit alkalmával tartott előadásán (Chip Somodevilla/Getty Images)
Kövesse az Indexet Facebookon is!
Követem!
