Säkerhetshål i krypteringsverktyg för mejl har upptäckts

SÄKERHET. Ett säkerhetshål har upptäckts i krypteringsverktygen PGP (Pretty Good Protection) och S/MIME som kan användas som ett extra skydd mot otillbörlig intrång till mejlkonversationer.

Det var Sebastian Schinzel, professor vid Münsters universitet i Tyskland, som på Twitter meddelade att han och andra forskare hade påträffat detta allvarliga säkerhetshål som gör det möjligt för eventuella hackare att kunna avkryptera och få ut hela mejlkonversationer.

Schinzel uppmanar användarna till dessa krypteringsverktyg att avaktivera dem då det i nuläget inte finns någon lösning på problemet.

Protonmail som använder sig utav krypteringsverktyget PGP har på Twitter meddelat att dem själva inte har drabbats.

Electronic Frontier Foundation (EFF) meddelar att man kan använda sig utav andra krypteringstjänster istället så som exempelvis ”Signal”.

Uppdatering från Nordiska motståndsrörelsens IT-grupp: Sårbarheten finns i sättet epostklienter hanterar s.k. ”bakkanaler” som HTML kod och alltså inte i PGP protokollet. Det som sker är att ett meddelande som injicerats med en skadlig länk i mejlets okrypterade del gör att precis efter det dekrypteras så ansluter epostklienten till länken och skickar med det dekrypterade meddelandet dit. GPG/PGP har ett inbyggt skydd mot manipulering av innehållet i epostmeddelandet som heter MDC (Modification Detection Code) och detta förhindrar att denna sårbarhet utnyttjas, åtminstone i de fall GPG/PGP verktygen respekterar när en varning för manipulering har skett.

Det ska alltså mycket till för att drabbas av denna sårbarhet. De säkerhetsanalytiker som har släppt rapporten har kritiserats av utvecklarna för kända GPG verktyg som GnuPG, Gpg4Win & Enigmail för att vara senastionslystna och blåsa upp detta som ett större problem än vad det egentligen är. Ett officiellt pressutlåtande har släppts och kan läsas här.

Användare rekommenderas att:
* Ändra inställningen i din epostklient till att enbart visa och skicka epostmeddelanden i klartext (plaintext only).
* Deaktivera hämtning av fjärrinnehåll (remote content) d.v.s. bilder och dylikt.
* Uppdatera epostklienten och GPG/PGP verktyget till den senaste versionen och håll utkik efter nya uppdateringar.

Källa:
EFAIL
Sebastian Schinzels Twitter
Protonmails Twitter
Officiellt pressutlåtande från utvecklare

Publicerad:
2018-05-22 09:30

Kategoriserat som:

Nyheter & Journalistik
Världen

Senaste nytt

Aktivist kommenterar städaktionen och avslöjar vänsterlögn

Sverige ska återlämna mätta skallar till Finland

Martin Saxlind gästar nattens WarStrike

Blöjbesatt transa vinner mot staten – får ha både penis och vagina

Det liberala samhället mördade Mikael

Tidigare Disneyministern (MP) vill stoppa meningsmotståndares inflytande i EU

Stoltenberg: Nato-länder måste prioritera Ukraina framför eget försvar

Iran: Nästa svar kommer inte att dröja 12 dagar

Ny ”könsbyteslag” antagen av Sveriges riksdag

Kantrande opinionsvindar i Ukraina – när ska de två folkstormarna mötas?

Dagens datum

”Angående Gustav Holmström, 98 år”

Världens främsta jaktpilot

Rött piller

Citat

Men hur befriar vi Norden då?

Framtidens aristokrati

Vi lever allt mer under ett auktoritärt liberalt styre

CFR - Wall Streets tankesmedja

EU – ett hot mot hela Europa!

Der Wehrwolf

Är det fel att sympatisera med palestinierna?

Vem förhindrar fred i Ukraina?