Sáng hôm qua, Tổ chức phi lợi nhuận chuyên bảo vệ quyền tự do công dân cho người dùng máy tính - EFF (Electronic Frontier Foundation) vừa công bố một lỗ hổng bảo mật có tên gọi “Efail” có thể làm lộ nội dung tin nhắn email HTML được mã hóa bằng các giao thức PGP và S / MIME, kể cả những tin nhắn đã gửi từ nhiều năm trước. Các giao thức mã hóa này thường được sử dụng bởi các nhà báo, chính trị gia và những người dùng quan tâm về vấn đề bảo mật.
“Tóm lại, Efail xâm nhập vào nội dung hoạt động của email HTML. Ví dụ như chèn hình ảnh, đoạn mã từ bên ngoài hay giải mã nội dung tin nhắn thông qua các URL được yêu cầu.” Các nhà nghiên cứu bảo mật chia sẻ.
“Hacker thay đổi email đã được mã hóa theo một cách đặc biệt và gửi những email mã hóa đã được biến đổi này đến những nạn nhân. Sau đó, giao thức mã hóa email của nạn nhân đang sử dụng sẽ giải mã và đọc bất kỳ đoạn mã đã được hacker chèn từ bên ngoài. Bao gồm cả giải mã nội dung tin nhắn cho những hacker.
Nói cách khác, khi hacker nắm trong tay quyền truy cập email của bạn, chúng có thể sử dụng thẻ HTML trong email, khiến trình duyệt mail bạn đang sử dụng giải mã sai những email theo cái cách mà haker có thể truy cập.”
EFF khuyến cáo những ai đang sử dụng giao thức mã hóa tin nhắn PGP và S / MIME thì hãy vô hiệu hóa và gỡ bỏ chúng ngay.
Tuy nhiên, cộng đồng an ninh mạng lại cho rằng không nhất thiết để sử dụng những giải pháp trên.
Trong một thông báo trên Twitter, ProtonMail đã khẳng định nhiều dịch vụ mã hóa và giải mã dữ liệu đã cập nhật bản vá lỗi Efail, trong đó có ProtonMail.
Dan Guido - CEO của công ty bảo mật Trail of Bits cũng công bố những phương pháp để người dùng emai nhận biết lỗ hổng Efail này.
Nếu bạn vẫn cảm thấy không an tâm, bạn hãy chọn gửi email theo dạng văn bản thuần thay vì sử dụng HTML, hoặc chỉ cần thêm chữ ký trên email như bao người khác.