Car-tech

Google, Microsoft og Yahoo fikser alvorlig e-svakhet

Gotta SPAM problem? Blame AOL, Google, Microsoft, and Yahoo | ZDNet

Gotta SPAM problem? Blame AOL, Google, Microsoft, and Yahoo | ZDNet
Anonim

Google, Microsoft og Yahoo har løst en kryptografisk svakhet i deres e-postsystemer som kan tillate en angriper å lage en spoofed melding som passerer en matematisk sikkerhetsbekreftelse.

Svakheten påvirker DKIM eller DomainKeys Identified Mail, et sikkerhetssystem som brukes av store e-post avsendere. DKIM pakker en kryptografisk signatur rundt en e-post som bekrefter domenenavnet der meldingen ble sendt, noe som lettere filtrere ut forfalskede meldinger fra legitime.

Problemet ligger med signering av nøkler som er mindre enn 1.024 biter, noe som kan bli fakturert på grunn av økt datakraft. US-CERT sa i en rådgivende utgave onsdag at signeringstaster mindre enn 1.024 bits er svake, og at nøklene opptil RSA-768 bits har blitt fakturert.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Problemet kom til etterretning etter at Florida-baserte matematiker Zachary Harris ble sendt en e-post fra en Google-rekrutterer som bare brukte en 512-bits nøkkel, ifølge en rapport publisert onsdag av Wired magazine.

Tenk at det kan være litt smart test av Google tok han nøkkelen, og brukte den til å sende en spoofed melding fra Sergey Brin til Larry Page, Googles grunnleggere.

Det var ikke en test, men faktisk et alvorlig problem, en hvor e-postmeldinger som kunne være falske ville være klarert. Ifølge DKIM-standarden har e-postmeldinger som har nøkler kortere enn 1.024 biter, ikke nødvendigvis avvist.

Harris fant at problemet ikke var begrenset til Google, men også Microsoft og Yahoo, som alle syntes å ha løst problemet som for to dager siden, ifølge US-CERT. Harris fortalte Wired at han fant enten 512-bit eller 768-bit nøkler i bruk på PayPal, Yahoo, Amazon, eBay, Apple, Dell, LinkedIn, Twitter, SBCGlobal, US Bank, HP, Match.com og HSBC.

Svak Signeringstaster er en velsignelse for cyberkriminelle. De selektivt målretter folk med e-postmeldinger som inneholder ondsinnede lenker i et forsøk på å utnytte en datamaskinens programvare og installere skadelig programvare, en angrepsstil som kalles spyd phishing. Hvis en e-post inneholder riktig DKIM-signatur, er det mer sannsynlig å ende opp i en mottakers innboks.

US-CERT varslet også om et annet problem. DKIM-spesifikasjonen tillater en avsender å markere at den tester DKIM i meldinger. Noen mottakere vil "akseptere DKIM-meldinger i testmodus når meldingene skal behandles som om de ikke var DKIM signert," US-CERT sa.

Send nyhetstips og kommentarer til [email protected]. Følg meg på Twitter: @jeremy_kirk