Si tratta di una semplice protezione contro EFAIL?

Naviga le tue risposte
5

Nel modo in cui ho capito EFAIL , l'attacco funziona perché i client di posta elettronica possono essere costretti a concatenare il messaggio decrittografato nel testo fornito dall'attaccante per risultare in un URL.

Ma non sarebbe una contromisura usare un preambolo adatto con ogni messaggio segreto inviato, come 

nice try " '
Secret meeting 
Tomorrow 9pm

? Il modo in cui comprendo l'attacco (s), questo si tradurrebbe in qualcosa di simile 

<img src="http://efail.de/nice%20try%"'SecretmeetingTomorrow9pm">

cioè, un tag img che probabilmente non è nemmeno valido ed esplora solo il "bel tentativo" iniziale per l'autore dell'attacco.

    
posta Hagen von Eitzen 18.05.2018 - 14:38
fonte

1 risposta

4

Potrebbe funzionare su alcuni attacchi EFAIL ingenui, ma

  1. l'ultima pagina di il white paper di EFAIL elenca una serie di varianti conosciute di EFAIL; la maggior parte, ma non tutte, si basano su tag HTML malevoli e citano caratteri. (Nota in particolare l'ultimo che esegue le intestazioni delle email.)
  2. La mia comprensione è che, a causa del funzionamento di AES_CBC, l'utente malintenzionato può scegliere dove inserire nell'e-mail il tag dannoso <img> , quindi una volta scoperto il trucco, lo inseriranno dopo nice try " ' .

In generale, gli attacchi come questo sono meglio contrastati affrontando la causa principale piuttosto che applicando le correzioni dell'aiuto alla banda in un gioco senza fine come una talpa.

Nel caso di EFAIL, la causa principale sono i client di posta elettronica che eseguono il rendering del contenuto HTML e seguono collegamenti esterni anche su contenuti non attendibili. La soluzione corretta è che i fornitori di client di posta elettronica siano più attenti all'utilizzo della crittografia autenticata (AES_GCM) e delle firme digitali.

Il comportamento corrente della maggior parte dei client di posta elettronica quando una convalida della firma fallisce è quello di eseguire il rendering dell'email, ma mettere un banner di avvertimento in alto. Mi chiedo se vedremo quel cambiamento come risultato di EFAIL?

    
risposta data 18.05.2018 - 14:56
fonte

Leggi altre domande sui tag

Blind SQL Injection e la dipendenza della versione HTTP? È accettabile per gli ingegneri della sicurezza avere l'accesso amministrativo ai server di produzione?