電子メールのエンドツーエンド暗号化方式である OpenPGP と S/MIME のセキュリティをテストしていた科学者らが最近、電子メール クライアント ソフトウェアが証明書と鍵交換メカニズムを処理する方法に複数の脆弱性を発見しました。
調査の結果、OpenPGP対応のメールクライアント18台のうち5台、S/MIME対応のクライアント18台のうち6台が、少なくとも1つの攻撃に対して脆弱であることが判明しました。これらの脆弱性は暗号技術の脆弱性によるものではなく、数十もの標準文書に基づくメールインフラの複雑さが、時間の経過とともに進化してきたことに起因しています。
今年の夏の初めに開催された IEEE 通信・ネットワーク セキュリティ バーチャル カンファレンスで発表された「Mailto: あなたの秘密を教えて。電子メールのエンドツーエンド暗号化のバグと機能について」と題された論文 [PDF] で、Jens Müller、Marcus Brinkmann、Joerg Schwenk (ドイツ、ボーフムのルール大学) と Damian Poddebniak および Sebastian Schinzel (ドイツ、ミュンスター応用科学大学) が、さまざまな電子メール クライアントに対してキー置換、中間者攻撃 (MITM) 復号化、およびキー流出攻撃を実行する方法を明らかにしています。
オープンソースの64ビットシリアル番号生成の失敗がTLSセキュリティ証明書失効の回避策を引き起こす
続きを読む
「電子メールの文脈において、両方の暗号化方式に対する実用的な攻撃を示す」と論文は説明している。
まず、鍵更新メカニズムの設計上の欠陥を提示します。この欠陥により、第三者が通信相手に新しい鍵を配布することが可能になります。次に、メールクライアントの下書き自動保存機能を悪用することで、メールクライアントを復号化や署名のオラクルとして機能させる方法を示します。最後に、様々なメールクライアントに実装されている独自のmailtoパラメータに基づいて、秘密鍵を盗み出す方法を示します。
これは、メールで安全に通信しようとする人が望むようなものではありません。ここで問題にしているのは、次のような mailto: URL です。
mailto:?to=sid&attach=~/.gnupg/secring.gpg
メールクライアントに脆弱性がある場合、秘密のGnuPG鍵データが自動的に添付されます。ミュラー氏は火曜日にTwitterで視覚的なデモンストレーションを公開しました。
mailto:?attach=~/… というパラメータをご存知ですか?ディスク上の任意のファイルを添付できます。被害者のメールクライアントに秘密鍵を添付するよう丁寧にお願いできるのであれば、なぜPGPを破る必要があるのでしょうか?(1/4) pic.twitter.com/7ub9dJZJaO
— イェンス・ミュラー (@jensvoid) 2020年8月17日
この調査により、GNOME Evolution(CVE-2020-11879)、KDE KMail(CVE-2020-11880)、IBM/HCL Notes(CVE-2020-4089)の脆弱性(CVE)が発見されました。さらに、未公開の脆弱性(CVE-2020-12618、CVE-2020-12619)が2件あります。
ミュラー氏によれば、影響を受けるベンダーには2月に脆弱性が通知されたという。
Pegasus Mail は指定された CVE がないにもかかわらず影響を受けると言われています。未確認の CVE の 1 つがここに当てはまる可能性があります。
Debian/Kali Linux版Thunderbirdバージョン52および60が影響を受けましたが、メールクライアントの開発者が昨年該当する脆弱性を修正したため、最近のバージョンは影響を受けないはずです。この脆弱性により、ウェブサイトは"mailto?attach=..."パラメータ付きのリンクを表示することができ、Thunderbirdは送信メッセージにSSH秘密鍵などのローカルファイルを添付するようになりました(前述の通り)。
しかし、mailto: リンクに応答して電子メール アプリケーションを起動する方法を提供するユーティリティ スクリプトのセットであるパッケージをインストールした人は、この特定のバグを再び発生させたようです。このバグは、. ®xdg-utilsではまだ修正されていません。xdg-utils
