Breaking News

พบช่องโหว่บน PGP และ S/MIME เสี่ยงถูกแอบอ่านเมลที่เข้ารหัส

Sebastian Schinzel อาจารย์ด้านความมั่นคงปลอดภัยระบบคอมพิวเตอร์จาก Münster University of Applied Sciences ออกมาแจ้งเตือนถึงช่องโหว่ความรุนแรงสูง PGP และ S/MIME Encryption Tools เสี่ยงถูกลอบอ่านอีเมลที่เข้ารหัส แม้แต่อีเมลที่เคยส่งไปแล้วในอดีตก็ไม่เว้น

Credit: Chaliya/ShutterStock.com

PGP หรือ Pretty Good Privacy เป็นมาตรฐานการเข้ารหัสข้อมูลแบบ End-to-end แบบ Open-source สำหรับใช้เข้ารหัสอีเมล ซึ่งช่วยให้บุคคลที่สาม ไม่ว่าจะเป็นคนในบริษัท แฮ็กเกอร์ หรือแม้แต่หน่วยงานรัฐก็ไม่สามารถดักฟังข้อมูลในอีเมลได้ ส่วน S/MIME หรือ Secure/Multipurpose Intenet Mail Extensions เป็นเทคโนโลยีวิทยาการรหัสลับแบบ Asymmetric ซึ่งช่วยให้ผู้ใช้สามารถส่งอีเมลแบบเข้ารหัสและลงลายเซ็นต์ดิจิทัลได้

Schinzel ได้ทวีตข้อความเตือนผู้ใช้อีเมล ระบุว่า พบช่องโหว่บน PGP และ S/MIME ซึ่งช่วยเปิดเผยข้อความแบบ Plaintext จากอีเมลที่ถูกเข้ารหัสได้ ไม่เว้นแม้แต่อีเมลที่เคยถูกส่งไปแล้วในอดีต ที่สำคัญคือ จนถึงตอนนี้ยังไม่มีการแก้ไขเพื่ออุดช่องโหว่ดังกล่าวอย่างแท้จริง

Electronic Frontier Foundation (EFF) ได้ออกมายืนยันถึงช่องโหว่ที่ Schinzel ค้นพบและแนะนำให้ผู้ใช้หยุดใช้โปรแกรม PGP และ S/MIME ไม่ว่าจะเป็น Thunderbird with Enigmail, Apple Mail with GPGTools หรือ Outlook with Gpg4win จนกว่าช่องโหว่จะถูกแพตช์ หรือใช้โปรแกรมอื่นในการเข้ารหัสข้อมูลแทน

จนถึงตอนนี้ รายละเอียดเชิงเทคนิคของช่องโหว่ดังกล่าวยังคงไม่ถูกเปิดเผย จึงยังไม่ทราบแน่ชัดว่ามีสาเหตุมาจากอัลกอริธึมที่ใช้เข้ารหัสข้อมูล หรือการทำงานของโปรแกรมกันแน่

ที่มา: https://thehackernews.com/2018/05/pgp-smime-email-encryption.html




About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

ร้านค้าปลีกในสหรัฐกว่า 90% สอบตกมาตรฐาน PCI DSS

SecurityScorecard ได้จัดทำการวิเคราะห์ร้านกว่า 1,444 แห่งที่อยู่ในอุตสาหกรรมค้าปลีกระหว่างเดือนตุลาคม 2017 ถึง มีนาคม 2018 พบว่าร้านค้าส่วนใหญ่ไม่ได้มาตรฐาน PCI DSS

ใครคือผู้รับผิดชอบที่แอปพลิเคชัน Third-party สามารถเข้าถึงข้อมูล Gmail ได้

Google ได้แถลงการณ์ยอมรับอย่างเป็นทางการต่อฝ่ายนิติบัญญัติของสหรัฐฯ ว่าตนได้อนุญาตให้แอปพลิเคชัน Third-party เข้าถึงและแชร์ข้อมูลของ Gmail ได้ แต่วันนี้เรามีอีกมุมมองจาก Howtogeek ที่จะมาเจาะลึกถึงเหตุผลว่าแท้จริงแล้วใครคือผู้ที่ต้องรับผิดชอบกันแน่