यूरोप में शोधकर्ताओं ने आईओएस और मैकओएस उपकरणों के साथ भेजे गए एन्क्रिप्टेड ईमेल की सामग्री को पढ़ने का एक तरीका खोजा है। तथाकथित Efail शोषण इतना महत्वपूर्ण है कि इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन इसे "तत्काल जोखिम" कहता है।
ऐप्पल निश्चित रूप से अपने सभी उपकरणों के लिए एक पैच पर काम कर रहा है, लेकिन अब आपके लैपटॉप, फोन और टैबलेट की सुरक्षा के तरीके हैं।
Efail तकनीकी विवरण
Efail हमले के लिए जानबूझकर गलत तरीके से लिखे गए HTML टैग की आवश्यकता होती है शोधकर्ताओं ने इसकी खोज की. एक Efail हमले में, एक दुर्भावनापूर्ण ईमेल एक छवि टैग से शुरू होता है जिसकी स्रोत विशेषता बंद नहीं होती है। विशेषता के भीतर हमलावर का वेब डोमेन है।
इसके बाद, हमलावर के ईमेल में ईमेल का एन्क्रिप्टेड टेक्स्ट होता है। फिर हमलावर पहले खोले गए छवि टैग को बंद करके ईमेल को समाप्त कर देता है।
फोटो: EFAIL.de
जब पीड़ित का ईमेल क्लाइंट इस ईमेल को खोलता है, तो यह पाठ को डिक्रिप्ट करेगा, लेकिन छवि के स्रोत के रूप में खुले और बंद छवि विशेषता टैग के बीच सब कुछ भी मानता है। इसमें ईमेल की डिक्रिप्टेड सामग्री शामिल है।
मेल क्लाइंट हमलावर के वेब डोमेन से छवि का अनुरोध करेगा। यह ईमेल के डिक्रिप्टेड टेक्स्ट को उनके सर्वर पर भेज देगा, जहां इसे सर्वर लॉग से पढ़ा जा सकता है।
अपने iPhone को Efail. से कैसे बचाएं?
अपने ईमेल की सामग्री को इस हमले से सुरक्षित रखना आसान है लेकिन असुविधाजनक है। इसके लिए "दूरस्थ छवियों को लोड करें" ईमेल सुविधा को बंद करने की आवश्यकता है। ऐसा इसलिए है, जैसा कि ऊपर वर्णित है, शोषण ईमेल क्लाइंट के मेल के एन्क्रिप्टेड टेक्स्ट को हथियाने के लिए एक दूरस्थ छवि लोड करने के प्रयास का उपयोग करता है।
किसी iPhone पर, यह परिवर्तन करने के लिए बस यहां जाने की आवश्यकता है सेटिंग्स> मेल और फिर अनचेक करना रिमोट इमेज लोड करें.
अपने मैक को Efail. से कैसे बचाएं
मैक पर प्रक्रिया अधिक जटिल है, लेकिन औसत उपयोगकर्ता की क्षमताओं से परे नहीं है।
सबसे पहले, सुनिश्चित करें कि मेल ड्रॉप-डाउन बॉक्स में जाकर और चयन करके macOS मेल ऐप बंद है मेल छोड़ें. इसके बाद, डॉक में इसके आइकन पर क्लिक करके फाइंडर खोलें। फिर टैप करके गो ड्रॉप-डाउन बॉक्स खोलें जाना पृष्ठ के शीर्ष पर, और चुनें फ़ोल्डर पर जाएँ…
परिणामी टेक्स्ट बॉक्स में, दर्ज करें /Library/Mail/Bundles. इससे GPGMail.mailbundle वाला फोल्डर खुल जाएगा। इस फ़ाइल को हटा दें। यह मेल ऐप को ईमेल को डिक्रिप्ट करने से रोकेगा।
किसी को भी अधिक सहायता की आवश्यकता है, उसे पढ़ना चाहिए Efail. से लड़ने के लिए गहन मार्गदर्शिका इलेक्ट्रॉनिक फ्रंटियर फाउंडेशन द्वारा प्रदान किया गया।
इन दोनों वर्कअराउंड में कुछ असुविधा शामिल है। फिर भी, ईफेल की खोज करने वाले यूरोपीय शोधकर्ता उन्हें "शत्रुतापूर्ण वातावरण में लोगों" के लिए अनुशंसा करते हैं, जिसमें पत्रकार, राजनीतिक कार्यकर्ता, व्हिसलब्लोअर आदि शामिल हैं।
उम्मीद है, ऐप्पल आईओएस और मैकओएस अपडेट को जल्दी से जारी करेगा ताकि सुरक्षा छेदों को ठीक किया जा सके जो कि एफिल शोषण करता है।
