Trang tin Gizmodo đã dẫn lời của Sebastian Schinzel – một giáo sư chuyên ngành bảo mật máy tính tại Đại học Khoa học Ứng dụng Munster, Đức rằng: “Email không còn là một phương thức liên lạc bảo mật nữa”.
Theo đó, lỗ hổng nghiêm trọng nói trên lần đầu được phát hiện bởi Tổ chức Biên giới Điện tử (Electronic Frontier Foundation – EFF) vào đầu buổi sáng thứ Hai, và các thông tin chi tiết về nó đã được tung lên nhiều tờ báo sau đó không lâu. Nhóm các nhà nghiên cứu châu Âu hiện đang cảnh báo mọi người hãy ngừng sử dụng chuẩn PGP hoàn toàn và cho biết, “ngay lúc này không có giải pháp đáng tin cậy nào để vá lỗ hổng này”.
Các nhà nghiên cứu nêu rõ rằng:
“Cuộc tấn công EFAIL lợi dụng các lỗ hổng trong chuẩn OpenPGP và S/MIME để làm lộ diện nội dung văn bản thuần của các email đã mã hóa. EFAIL sẽ phá hoại nội dung hoạt động của các email HTML, ví dụ, nạp các hình ảnh hay các kiểu trình bày từ bên ngoài, để thu thập văn bản thuần thông qua các URL được yêu cầu. Để tạo ra các kênh thu thập, kẻ tấn công đầu tiên cần phải truy cập vào các email đã mã hóa bằng nhiều cách, ví dụ, nghe lén lưu lượng mạng, xâm nhập các tài khoản email, máy chủ email, các hệ thống backup hay các máy khách. Các email đã được gửi đi từ nhiều năm trước cũng có thể bị thu thập.
Kẻ tấn công thay đổi một email đã mã hóa theo một phương thức đặc biệt và gửi email mã hóa đã bị thay đổi này đến nạn nhân. Trình email trên máy tính của nạn nhân sẽ giải mã email và nạp bất kỳ nội dung từ bên ngoài nào, qua đó sẽ trích xuất nội dung văn bản thuần gửi về cho kẻ tấn công”.
Bạn có thể đọc thêm thông tin về lỗ hổng EFAIL này tại đây.
Sebastian Schinzel, đồng tác giả của nghiên cứu mới, đã dự định đợi tới đầu buổi sáng thứ Ba để tung ra kết quả mình vừa phát hiện, nhưng không còn kịp nữa. Về dài hạn, chuẩn OpenPGP và S/MIME sẽ phải được cập nhật, mà theo các nhà nghiên cứu cảnh báo thì việc này sẽ tốn một khoản thời gian kha khá.
PGP (Pretty Good Privacy) là một chương trình mã hóa vốn được xem là tiêu chuẩn vàng đối với bảo mật email, được phát triển lần đầu vào năm 1991. Email mã hóa được tin tưởng là một loại lá chắn vô hình bởi quá nhiều chuyên gia bảo mật vô trách nhiệm, đã trở nên phổ biến rộng rãi sau khi cựu nhân viên CIA Edward Snowden tiết lộ chương trình giám sát kỹ thuật số của chính phủ Mỹ vào tháng 6/2013. Nhưng email mã hóa lại không hoàn hảo, cũng như mọi hệ thống bảo mật khác.
Về phần mình, cộng đồng quyền riêng tư khăng khăng rằng lỗ hổng này đã bị làm quá lên, và mọi người chỉ đang phản ứng thái quá mà thôi. Werner Koch, tác giả chính của GNU Privacy Guard, đã viết rằng có hai phương thức để tránh cuộc tấn công này: không sử dụng các email HTML nữa, và sử dụng mã hóa đã xác thực.
“Họ phát hiện ra rằng các ứng dụng email đã không kiểm tra cẩn thận các lỗi trong quá trình giải mã, và còn đi theo các đường link trong các email HTML. Do đó, lỗ hổng này nằm trong các trình email chứ không phải lỗi giao thức. Trên thực tế, OpenPGP miễn nhiễm nếu được sử dụng đúng cách, trong khi S/MIME không có bất kỳ giải pháp nào được đưa ra” – GNU Privacy Guard viết trên Twitter.
“Nếu được sử dụng đúng cách” nghe như một cụm từ ma thuật đối với rất nhiều công ty bảo mật ngày nay. Nhiều người cho rằng phát biểu trên của GNU Privacy Guard nghe thật ngớ ngẩn.
EFF đã hướng dẫn cách ngừng kích hoạt PGP trong Apple Mail, Outlook và Thunderbird. Vậy nếu bạn dùng một ứng dụng khác thì sao? EFF cho biết không có trình email nào đáng tin cậy cả, và đề xuất sử dụng Signal để gửi các tin nhắn và thực hiện các cuộc gọi mã hóa hai đầu. Nhưng bạn cũng cần chú ý rằng không có gì là đảm bảo cả.
Bạn có thể đọc đầy đủ công trình nghiên cứu của các tác giả Damian Poddebniak, Christian Dresen, Jens Müller, Fabian Ising, Sebastian Schinzel, Simon Friedberger, Juraj Somorovsky, và Jörg Schwenk tại EFAIL.de
Minh.T.T