S/MIME ve OpenPGP e-posta şifreleme teknolojilerinde güvenlik açığı bulundu

Bir grup araştırmacı oldukça yaygın kullanıma sahip S/MIME ve OpenPGP e-posta şifreleme teknolojilerinde siber saldırganların şifreli e-posta mesajlarını okuyabilmelerine neden olabilecek bir güvenlik açığı tespit etti. Efail adı verilen ve 21 sayfalık bir akademik çalışma ile yayınlanan güvenlik açığı şifreli e-posta mesajlarının düz metne dönüştürülmesini dolayısıyla saldırganların bu mesajları okuyabilmesini sağlıyor.

Güvenlik açığı 25 adet S/MIME istemcisinin 23’ünde, 28 OpenPGP istemcisinin ise 10’unda başarılı bir şekilde test edilmiş. Yani bu e-posta istemcilerinden şifreli olarak gönderilen mesajlar güvenlik araştırmacıları tarafından okunabilmiş. Etkilenen istemciler arasında Apple Mail, iOS mail ve Mozilla Thunderbird gibi popüler e-posta istemcileri yer alıyor.

E-posta istemcisi geliştiriciler durumdan haberdar edilmiş ve güvenlik açığını kapatacak güncellemeler ve yamalar üzerinde çalışıyorlar. Uzmanlar, güvenlik açığı kapanana kadar OpenPGP ve S/MIME kullanıcılarının HTML rendering özelliğini devre dışı bırakmalarını tavsiye ediyorlar.

Konu ile ilgili ayrıntıların yer aldığı dokümana (İngilizce) buradan erişebilirsiniz.