Google, Microsoft und Yahoo beheben schwerwiegende E-Mail-Schwachstellen

Google, Microsoft und Yahoo haben eine kryptografische Schwäche in ihren E-Mail-Systemen behoben, die es einem Angreifer ermöglichen könnte, eine gefälschte Nachricht zu erstellen, die eine mathematische Sicherheitsüberprüfung besteht.

Die Schwachstelle betrifft DKIM oder DomainKeys Identified Mail, ein Sicherheitssystem von großen E-Mail-Absendern. DKIM umschließt eine kryptografische Signatur um eine E-Mail, die den Domainnamen verifiziert, über den die Nachricht gesendet wurde, wodurch gefälschte Nachrichten leichter von legitimen Nachrichten herausgefiltert werden können.

Das Problem liegt in der Signatur von Schlüsseln mit weniger als 1024 Bits aufgrund zunehmender Computerleistung berücksichtigt werden. US-CERT sagte in einem beratenden Mittwoch, dass Signaturschlüssel mit weniger als 1.024 Bits schwach sind und dass bis zu RSA-768 Bits verwendet wurden.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows PC]

Das Problem kam ans Tageslicht, nachdem der in Florida lebende Mathematiker Zachary Harris eine E-Mail von einem Google-Rekrutierer erhalten hatte, der nur einen 512-Bit-Schlüssel verwendet, heißt es in einem am Mittwoch veröffentlichten Bericht von Wired.

Ich denke, es könnte ein cleverer Test sein von Google, faktorierte er den Schlüssel und benutzte ihn dann, um eine gefälschte Nachricht von Sergey Brin an Larry Page, die Gründer von Google, zu senden.

Es war kein Test, sondern ein ernsthaftes Problem, bei dem E-Mails gefälscht sein konnten würde vertraut werden. Laut dem DKIM-Standard werden E-Mail-Nachrichten mit Schlüsseln kürzer als 1.024 Bit nicht notwendigerweise abgelehnt.

Harris stellte fest, dass das Problem nicht auf Google beschränkt war, sondern auch auf Microsoft und Yahoo, die das Problem anscheinend behoben hatten vor zwei Tagen, laut US-CERT. Harris sagte Wired, er fand entweder 512-Bit- oder 768-Bit-Schlüssel bei PayPal, Yahoo, Amazon, eBay, Apple, Dell, LinkedIn, Twitter, SBCGlobal, US Bank, HP, Match.com und HSBC.

Schwach Signieren von Schlüsseln ist ein Segen für Cyberkriminelle. Sie zielen gezielt auf Personen ab, die E-Mails mit bösartigen Links haben, um die Software eines Computers auszunutzen und Malware zu installieren, eine Angriffsweise, die als Spear-Phishing bezeichnet wird. Wenn eine E-Mail die korrekte DKIM-Signatur enthält, ist es wahrscheinlicher, dass sie im Posteingang des Empfängers landet.

US-CERT warnte auch vor einem anderen Problem. Die DKIM-Spezifikation ermöglicht es einem Absender zu kennzeichnen, dass er DKIM in Nachrichten testet. Einige Empfänger akzeptieren "DKIM-Nachrichten im Testmodus, wenn die Nachrichten so behandelt werden sollten, als wären sie nicht DKIM-signiert", sagte das US-CERT.

Senden Sie News-Tipps und Kommentare an [email protected]. Folge mir auf Twitter: @jeremy_kirk