Para peneliti keamanan di Eropa telah menemukan adanya kerentanan baru yang mengkhawatirkan pada enkripsi email yang populer. Seperti dijelaskan dalam sebuah laporan yang diterbitkan Senin pagi, kerentanan tersebut memungkinkan penyerang menyuntikkan kode berbahaya pada email yang mereka disadap.
Walaupun protokol enkripsi dirancang untuk melindungi terhadap injeksi kode. Apabila proses tersebut diilaksanakan dengan benar, maka kode berbahaya itu dapat digunakan untuk mencuri seluruh isi kotak masuk email dari target.
Kerentanan tersebut memengaruhi dua protokol enkripsi email yang paling popular yaitu PGP dan S / MIME, meskipun tingkat kerentanannya masih sangat tergantung pada bagaimana implementasi protokol yang dilakukan oleh klien.
Sejumlah klien memiliki tingkat kerentanan yang berbeda, termasuk Apple Mail, aplikasi Mail di iOS, dan Thunderbird. Saat ini banyak sistem email yang menggunakan otentikasi pesan yang tersedia dan ini dapat secara efektif dapat memblokir serangan.
Jika email terenkripsi yang digunakan klien tersebut disadap saat proses pengiriman, penyerang dapat menggunakan kerentanan baru tersebut untuk mengubah email, menambahkan kode HTML berbahaya sebelum mengirimnya ke tujuan atau target. Ketika target membuka email baru, kode berbahaya dapat digunakan untuk mengirim kembali email dengan format plaintext.
Saat ini masih banyak server perusahaan yang masih menggunakan enkripsi S / MIME, sehingga apabila terjadi serangan dapat menimbulkan risiko yang signifikan terhadap sistem yang ada.
Perangkat lunak open-source GNU Privacy Guard menulis dalam sebuah pernyataan bahwa ada dua cara untuk mengurangi serangan ini, pertama jangan gunakan email dengan format HTML, kedua gunakan enkripsi yang dapat diautentikasi.”
Sebastian Schinzel, seorang profesor keamanan komputer di Münster University of Applied Sciences yang ikut menulis untuk memperingatkan di Twitter bahwa saat ini tidak ada perbaikan yang dapat diandalkan untuk kerentanan tersebut.
Dia merekomendasikan para pengguna email untuk menonaktifkan enkripsi mereka di aplikasi email apabila mereka menggunakan PGP untuk komunikasi sensitif. Sementara itu, The Electronic Frontier Foundation menyebutkan bahwa langkah-langkah yang diambil saat ini sifatnya masih sementara, sampai ditemukannya solusi untuk memperbaiki masalah kerentanan email ini.(hh)