SigSpoof: Ένας ερευνητής ασφάλειας ανακάλυψε μια κρίσιμη ευπάθεια που επηρεάζει μερικά από τα πιο δημοφιλή προγράμματα ηλεκτρονικού ταχυδρομείου που χρησιμοποιούν το πρότυπο OpenPGP για την κρυπτογράφηση μηνυμάτων.
Η αποκάλυψη έρχεται σχεδόν ένα μήνα μετά από μια ανακάλυψη ευπαθειών σε εργαλεία κρυπτογράφησης PGP και S/Mime. Οι συγκεκριμένες ευπάθειες θα μπορούσαν να επιτρέψουν σε επιτιθέμενους να διαβάσουν κρυπτογραφημένα μηνύματα.
Ο προγραμματιστής λογισμικού Marcus Brinkmann ανακάλυψε μια νέα ευπάθεια που ονόμασε SigSpoof. Η SigSpoof δίνει τη δυνατότητα σε επιτιθέμενους να πλαστογραφήσουν ψηφιακές υπογραφές με το δημόσιο κλειδί, χωρίς να απαιτείται κάποιο ιδιωτικό κλειδί.
Η ευπάθεια έχει χαρακτηριστεί σαν CVE-2018-12020, και επηρεάζει τις πάρα πολλές δημοφιλείς εφαρμογές ηλεκτρονικού ταχυδρομείου: GnuPG, Enigmail, GPGTools και python-gnupg. Όλες οι εφαρμογές έχουν πλέον ενημερωθεί.
Όπως αναφέρει ο ερευνητής, το πρωτόκολλο OpenPGP επιτρέπει να συμπεριληφθεί η παράμετρος “filename” του αρχικού αρχείου εισόδου στα υπογεγραμμένα ή κρυπτογραφημένα μηνύματα, συνδυάζοντάς τα με τα μηνύματα κατάστασης GnuPG, προσθέτοντας μια προκαθορισμένη λέξη-κλειδί που χρησιμοποιείτε για τον διαχωρισμό τους.
“Αυτά τα μηνύματα κατάστασης αναλύονται από τα προγράμματα για να λάβουν πληροφορίες από το gpg για την εγκυρότητα μιας ψηφιακής υπογραφής και άλλων παραμέτρων”, ανέφερε ο προγραμματιστής του GnuPG Werner Koch σε μια ανακοίνωση που δημοσιεύθηκε σήμερα.
Κατά την αποκρυπτογράφηση του μηνύματος στον υπολογιστή του παραλήπτη, η εφαρμογή χωρίζει τις πληροφορίες χρησιμοποιώντας τη συγκεκριμένη λέξη-κλειδί και εμφανίζει το μήνυμα με έγκυρη υπογραφή, εάν ο χρήστης έχει την ενεργοποιημένη την επιλογή στο αρχείο gpg.conf.
Ωστόσο, ο ερευνητής διαπίστωσε ότι το συμπεριλαμβανόμενο filename, (που μπορεί να έχει έως και 255 χαρακτήρες), δεν διαχειρίζεται σωστά από τις ευπαθείς εφαρμογές, επιτρέποντας έτσι σε κάποιο εισβολέα να “συμπεριλάβει feeds ή κάποιο κώδικα που του επιτρέπει να αποκτήσει τον έλεγχο.”
Ο Brinkmann μοιράστηκε τρία PoCs που δείχνουν πώς μπορούν να πλαστογραφηθούν οι υπογραφές στα Enigmail και GPGTools και πώς μπορεί να πλαστογραφηθεί μια υπογραφή από τη γραμμή εντολών.
Όσοι από εσάς χρησιμοποιούν τις παραπάνω εφαρμογές καλό θα ήταν να αναβαθμίσετε άμεσα στις νέες εκδόσεις:
____________________________
- Gmail; To ξέρετε ότι έχετε δύο διαφορετικές διευθύνσεις;
- ShareTube : Παρακολουθήστε βίντεο στο YouTube σε συγχρονισμό με τους φίλους σας
- LaZagneForensic: βρείτε τους αποθηκευμένους κωδικούς πρόσβασης