Sáng hôm qua, Tổ chức phi lợi nhuận chuyên bảo vệ quyền tự do công dân cho người dùng máy tính - EFF (Electronic Frontier Foundation) vừa công bố một lỗ hổng bảo mật có tên gọi “Efail” có thể làm lộ nội dung tin nhắn email HTML được mã hóa bằng các giao thức PGP và S / MIME, kể cả những tin nhắn đã gửi từ nhiều năm trước. Các giao thức mã hóa này thường được sử dụng bởi các nhà báo, chính trị gia và những người dùng quan tâm về vấn đề bảo mật.
/https%3A%2F%2Fblueprint-api-production.s3.amazonaws.com%2Fuploads%2Fcard%2Fimage%2F773122%2F8df6e71f-886a-4c7b-ab85-d1f04f54bee0.jpg)
“Tóm lại, Efail xâm nhập vào nội dung hoạt động của email HTML. Ví dụ như chèn hình ảnh, đoạn mã từ bên ngoài hay giải mã nội dung tin nhắn thông qua các URL được yêu cầu.” Các nhà nghiên cứu bảo mật chia sẻ.
“Hacker thay đổi email đã được mã hóa theo một cách đặc biệt và gửi những email mã hóa đã được biến đổi này đến những nạn nhân. Sau đó, giao thức mã hóa email của nạn nhân đang sử dụng sẽ giải mã và đọc bất kỳ đoạn mã đã được hacker chèn từ bên ngoài. Bao gồm cả giải mã nội dung tin nhắn cho những hacker.
Nói cách khác, khi hacker nắm trong tay quyền truy cập email của bạn, chúng có thể sử dụng thẻ HTML trong email, khiến trình duyệt mail bạn đang sử dụng giải mã sai những email theo cái cách mà haker có thể truy cập.”
EFF khuyến cáo những ai đang sử dụng giao thức mã hóa tin nhắn PGP và S / MIME thì hãy vô hiệu hóa và gỡ bỏ chúng ngay.
Tuy nhiên, cộng đồng an ninh mạng lại cho rằng không nhất thiết để sử dụng những giải pháp trên.
Trong một thông báo trên Twitter, ProtonMail đã khẳng định nhiều dịch vụ mã hóa và giải mã dữ liệu đã cập nhật bản vá lỗi Efail, trong đó có ProtonMail.
“Việc công bố lỗ hổng Efail của EFF không hề có tâm gì cả. EFF thật vô lý khi cố thổi phồng lỗi này trên phương tiện truyền thông và sau đó là gửi một khuyến nghị vô cùng tắc trách (vô hiệu hóa giao thức PGP). Ít nhiều họ cũng biết đến việc đã có nhiều dịch vụ mail cập nhật bản vá lỗi này rồi chứ.”
Dan Guido - CEO của công ty bảo mật Trail of Bits cũng công bố những phương pháp để người dùng emai nhận biết lỗ hổng Efail này.
“Trước khi mọi người băn khoăn về Efail thì hãy biết điều này, đó là: 1. Cực kỳ dễ phát hiện 2. Được lưu trữ trong những email mà bạn đã gửi. Với vị trí là một hacker, tôi sẽ không ngừng lo lắng khi sử dụng kỹ thuật này: thông minh nhưng hoạt động chẳng ra làm sao.”
Nếu bạn vẫn cảm thấy không an tâm, bạn hãy chọn gửi email theo dạng văn bản thuần thay vì sử dụng HTML, hoặc chỉ cần thêm chữ ký trên email như bao người khác.
