حذرت مجموعة من الباحثين الأمنيين في أوروبا من أن الطريقتين الأكثر استخدامًا لتشفير رسائل البريد الإلكتروني- PGP وS/Mime – بهما خلل أمني خطير يمكن أن يكشف عن نص الرسائل المشفرة. وأكدوا بأنه لا توجد إصلاحات موثوقة حتى الآن وينصح لأي شخص يستخدمهما لتشفير الرسائل الإلكترونية الحساسة بإزالتهما على الفور من برامج البريد الإلكتروني الخاصة به.
وذكر سيباستيان شينزل أستاذ أمن الكمبيوتر في جامعة مونستر في تدوينة له على موقع تويتر: “قد تكشف الثغرة الأمنية عن النص العادي لرسائل البريد الإلكتروني المشفرة بما في ذلك الرسائل الإلكترونية المشفرة التي أرسلتها في الماضي، ولا توجد حاليًا إصلاحات موثوقة لهذه الثغرة لذا إذا كنت تستخدم PGP / GPG أو S/MIME في تشفير اتصالات شديدة الحساسية فيجب عليك تعطيلها في برنامج البريد الإلكتروني في الوقت الحالي”.
يأتي هذا التحذير من مجموعة من الباحثين الأمنيين في أوروبا من جامعة مونستر، وجامعة الرور الألمانية وجامعة لوفان البلجيكية، وقد كان أعضاء فريق هذا البحث وراء الكشف عن مجموعة متنوعة من هجمات التشفير المهمة الأخرى قبل ذلك، حيث كشفوا عن هجوم يحمل اسم (Drown) في عام 2016 والذي أثر على حوالي 11 مليون موقع HTTPS.
وأشار شينزل إلى تعطيل أدوات التشفير الإضافية هذه في برامج البريد الإلكتروني: Thunderbird و MacOS Mail وأوتلوك Outlook.
وأشار فيرنر كوخ مؤسس GNU Privacy Guard (وهو تطبيق لمعيار OpenPGP) إلى أنه لوحظ في سلسلة البريد الإلكتروني الخاصة بمجموعة من المستخدمين أن رسائل HTML الإلكترونية قد لا تكون آمنة تمامًا لمستخدمي طرق تشفير رسائل البريد الإلكتروني PGP و S/MIME وأنه لا يوجد حتى الآن حل لمشكلة ضعف التأمين مع الرسائل ذات أنواع معينة من المرفقات مع عملاء S / MIME فقط بينما أداءة PGP أكثر أمانًا عنها.
روبرت هانسن الذي يعمل على تطوير إضافة التأمين Enigmail المستخدمة في Thunderbird – والتي تسمح بقراءة وإرسال رسائل البريد الإلكتروني الموقعة بتشفير OpenPGP- ينصح بتحديث التطبيق للبقاء آمنًا قائلًا: “لا تصدقوا هذا الضجيج، ولا داع للذعر فقط تأكدوا من تشغيل أحدث إصدار من Enigmail”.
وقد نشر الباحثون النتائج التي توصلوا إليها اليوم على هذا الموقع بالإضافة إلى ورقة بحثية يشرحون فيها أن هجمات EFAIL تكسر تشفير PGP وS/ MIME عبر البريد الإلكتروني من خلال إكراه العملاء على إرسال النص العادي الكامل للرسائل الإلكترونية إلى المهاجم”. ولكن من الجدير بالذكر أن المهاجم يحتاج إلى الوصول لرسائل البريد الإلكتروني المشفرة بأدوات PGP وS/MIME لتنفيذ الهجوم.
ولاحظ الباحثون أنك ستحتاج في الوقت الحالي إلى إزالة PGP ومفتاح S/MIME من برنامج البريد الإلكتروني الخاص بك، وفك تشفير الرسائل الإلكترونية المشفرة الواردة عن طريق نسخ ولصق النص المشفر في تطبيق منفصل لفك تشفير وقراءة رسائلك ؛ هذا يمنع برنامج البريد الإلكتروني الخاص بك من نقل محتويات نص الرسائل المشفرة مرة أخرى إلى المهاجم. بالإضافة إلى ذلك فإن تعطيل عرض HTML لرسائل البريد الإلكتروني الواردة يجب أن يساعد أيضًا في حمايتك من إرسال هذه المعلومات بدون علم من برنامج البريد الإلكتروني الخاص بك.
وبناء على ما سبق ينبغي على مطوري برامج البريد الإلكتروني إصدار تصحيحات لبرامجهم لمنع هذه الثغرة من استغلال رسائل المستخدمين.