Lebih dari Satu Lusin Klien Email Populer Ditemukan Rentan terhadap Serangan Spoofing Tanda Tangan - Otak Kita

Lebih dari Satu Lusin Klien Email Populer Ditemukan Rentan terhadap Serangan Spoofing Tanda Tangan


Otak Kita - Sebuah tim peneliti keamanan telah menemukan beberapa kerentanan dalam berbagai implementasi OpenPGP dan verifikasi tanda tangan email S / MIME yang dapat memungkinkan penyerang untuk memalsukan tanda tangan di lebih dari selusin klien email populer.

Klien email yang terpengaruh meliputi Thunderbird, Microsoft Outlook, Apple Mail dengan GPGTools, iOS Mail, GpgOL, KMail, Evolution, MailMate, Airmail, K-9 Mail, Roundcube dan Mailpile.

Ketika Anda mengirim email yang ditandatangani secara digital, ia menawarkan keaslian dan integritas pesan ujung ke ujung, memastikan penerima bahwa email tersebut benar-benar berasal dari Anda.

Namun, para peneliti menguji 25 klien email yang banyak digunakan untuk Windows, Linux, macOS, iOS, Android dan Web dan menemukan bahwa setidaknya 14 di antaranya rentan terhadap berbagai jenis serangan praktis di bawah lima kategori yang disebutkan di bawah, membuat tanda tangan palsu tidak dapat dibedakan dari yang valid bahkan oleh pengguna yang penuh perhatian.

Penelitian ini dilakukan oleh tim peneliti dari Ruhr University Bochum dan Münster University of Applied Sciences, yang meliputi Jens Müller, Marcus Brinkmann, Damian Poddebniak, Hanno Böck, Sebastian Schinzel, Juraj Somorovsky, dan Jörg Schwenk.

    "Dalam skenario kami, kami menganggap dua mitra komunikasi yang dapat dipercaya, Alice dan Bob, yang telah secara aman bertukar kunci PGP publik atau sertifikat S / MIME mereka," tim menjelaskan dalam makalah penelitian [ PDF ] yang diterbitkan hari ini.
    "Tujuan penyerang Eve kami adalah membuat dan mengirim email dengan konten sewenang-wenang kepada Bob yang klien emailnya secara salah mengindikasikan bahwa email tersebut telah ditandatangani secara digital oleh Alice." 


1) Serangan CMS (C1, C2, C3, C4) - Kelemahan karena kesalahan penanganan Sintaksis Pesan Kriptografis (CMS), format wadah S / MIME, menyebabkan struktur data yang bertentangan atau tidak biasa, seperti banyak penandatangan atau tidak ada penandatangan.

2) Serangan API GPG (G1, G2) - Kelemahan implementasi di banyak klien email gagal mem-parsing berbagai input yang berbeda yang dapat memungkinkan penyerang untuk menyuntikkan string sewenang-wenang ke dalam API jalur status GnuPG dan mencatat pesan, menipu klien agar menampilkan tanda tangan yang berhasil validasi untuk kunci publik yang sewenang-wenang.


3) Serangan MIME (M1, M2, M3, M4) - Serangan pembungkus MIME menyalahgunakan cara klien email menangani pesan yang ditandatangani sebagian. Serangan ini memungkinkan penyerang menipu klien email agar menunjukkan teks yang tidak ditandatangani sembari memverifikasi tanda tangan yang tidak terkait di bagian lain (yang tetap tidak terlihat).

4) serangan ID (I1, I2, I3) - Serangan ini mengandalkan kelemahan dalam pengikatan pesan yang ditandatangani dengan identitas pengirim oleh klien surat, yang memungkinkan penyerang untuk menampilkan tanda tangan yang valid dari identitas (ID) dari mitra komunikasi tepercaya terletak di header surat.

5) Serangan UI (U1) - Serangan pemulihan Antarmuka Pengguna (UI) berhasil jika penyerang menemukan cara untuk meniru, menggunakan HTML, CSS, atau gambar sebaris, beberapa elemen UI penting dari klien email yang dapat memungkinkan mereka untuk menampilkan indikator dari tanda tangan yang valid.

Di bawah ini adalah hasil dari semua serangan spoofing tanda tangan yang disebutkan di atas diuji terhadap berbagai klien email untuk OpenPGP, di mana indikator lingkaran hitam penuh mewakili "Pemalsuan yang sempurna," lingkaran setengah pingsan mewakili "Pemalsuan sebagian," dan yang putih mewakili "Pemalsuan lemah," . "


Tabel berikutnya menunjukkan hasil untuk verifikasi tanda tangan S / MIME:


Menariknya, para peneliti juga menemukan bahwa beberapa serangan spoofing tanda tangan email juga dapat digunakan untuk spoof hasil dekripsi, "menyebabkan klien email menunjukkan pesan terenkripsi di mana sebenarnya plaintext ditransmisikan dengan jelas."

    "Model penyerang kami tidak mencakup segala bentuk rekayasa sosial. Pengguna membuka dan membaca surel yang diterima seperti biasa, sehingga pelatihan penyadaran tidak membantu mengurangi serangan," kata para peneliti. 


Meskipun sebagian besar serangan pemalsuan parsial dan lemah ini berpotensi dapat dideteksi dengan memeriksa GUI atau mengklik secara manual untuk menerima detail tanda tangan lebih lanjut, serangan ini masih menjadi perhatian ketika sejumlah besar pengguna dan komunitas yang sensitif bergantung pada enkripsi email dan verifikasi untuk otentikasi.

Kerentanan dalam klien email telah diberikan CVE berikut: CVE-2018-18509, CVE-2018-12019, CVE-2018-12020, CVE-2017-17848, CVE-2018-15586, CVE-2018-15587, CVE- 2018-15588, CVE-2019-8338, CVE-2018-12356, CVE-2018-12556, dan CVE-2019-728.

Para peneliti melaporkan kerentanan ini kepada vendor dan pengembang yang terkena dampak, serta menyarankan tindakan pencegahan yang sesuai, yang sekarang telah diterapkan dalam versi terbaru dari sebagian besar perangkat lunak yang terpengaruh.

Iklan Atas Artikel

Iklan Tengah Artikel 1

Iklan Tengah Artikel 2

Iklan Bawah Artikel