Google, Microsoft at Yahoo ayusin ang malubhang kahinaan sa email

Ang remedyo ng Google, Microsoft at Yahoo ay isang kahinaan sa cryptographic sa kanilang mga email system na maaaring magpahintulot sa isang magsasalakay na lumikha ng isang spoofed na mensahe na nagpapasa ng isang pag-verify sa seguridad sa matematika.

Ang kahinaan ay nakakaapekto sa DKIM, o DomainKeys Identified Mail, isang security system na ginagamit sa pamamagitan ng mga pangunahing nagpapadala ng email. Ang DKIM ay bumabalot ng isang cryptographic na lagda sa isang email na nagpapatunay sa pangalan ng domain kung saan naipadala ang mensahe, na tumutulong na mas madaling i-filter ang mga spoofed na mensahe mula sa mga lehitimong mga.

Ang problema ay may kasamang mga pirma ng pag-sign na mas mababa sa 1,024 bit, na maaaring mabahala dahil sa pagtaas ng lakas ng computer. Sinabi ng US-CERT sa isang advisory na ibinigay na Miyerkules na ang mga key ng pag-sign mas mababa sa 1,024 bit ay mahina, at ang mga key na iyon hanggang sa RSA-768 na mga bit ay na-factored.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Ang isyu ay dumating sa liwanag pagkatapos ng dalubhasa na nakabase sa Florida na si Zachary Harris ay naipadala ng isang email mula sa isang Google recruiter na gumagamit lamang ng isang 512-bit key, ayon sa isang ulat na inilathala ng Miyerkules ng Wired magazine. Sa pamamagitan ng Google, pinagkatiwalaan niya ang susi, pagkatapos ay ginamit ito upang magpadala ng isang spoofed na mensahe mula kay Sergey Brin sa Larry Page, ang mga tagapagtatag ng Google.

Hindi ito isang pagsubok ngunit sa katunayan isang malubhang problema, ang isa kung saan ang mga email na maaaring bogus ay pinagkakatiwalaan. Ayon sa pamantayan ng DKIM, ang mga mensaheng email na may mga key na mas maikli na ang 1,024 bit ay hindi kinakailangang tinanggihan.

Nasumpungan ni Harris na ang problema ay hindi limitado sa Google, kundi pati na rin sa Microsoft at Yahoo, na lahat ay nagpakita na naayos ang isyu bilang ng dalawang araw na nakalipas, ayon sa US-CERT. Sinabi ni Harris sa Wired na natagpuan niya ang alinman sa 512-bit o 768-bit na key na ginagamit sa PayPal, Yahoo, Amazon, eBay, Apple, Dell, LinkedIn, Twitter, SBCGlobal, US Bank, HP, Match.com at HSBC. ang mga key ng pag-sign ay isang kabutihan para sa cybercriminals. Pinipili nila ang mga taong may mga email na naglalaman ng mga nakakahamak na link sa pagtatangka na gamitin ang software ng computer at mag-install ng malware, isang estilo ng atake na kilala bilang phishing na sibat. Kung ang isang email ay naglalaman ng tamang lagda ng DKIM, mas malamang na magwakas ito sa inbox ng tatanggap.

Binabalaan din ng US-CERT ang isa pang problema. Pinapayagan ng pagtutukoy ng DKIM ang isang nagpadala upang i-flag na ito ay pagsubok ng DKIM sa mga mensahe. Ang ilang mga tagatanggap ay "tatanggap ng mga mensahe ng DKIM sa mode na pagsubok kapag ang mga mensahe ay dapat na tratuhin na kung hindi sila naka-sign DKIM," Sinabi ng US-CERT.

Magpadala ng mga tip sa balita at komento sa [email protected]. Sumunod kayo sa akin sa Twitter: @jeremy_kirk