Google, Microsoft och Yahoo fixar allvarlig svaghet i e-postmeddelanden

Google, Microsoft och Yahoo har avhjälpt en kryptografisk svaghet i sina e-postsystem som kan göra det möjligt för en angripare att skapa ett spoofed-meddelande som överför en matematisk säkerhetsverifiering.

Svagheten påverkar DKIM eller DomainKeys Identified Mail, ett säkerhetssystem som används av stora e-post avsändare. DKIM sätter in en kryptografisk signatur kring ett e-postmeddelande som verifierar domännamnet genom vilket meddelandet skickades, vilket lättare filtrerar bort spoofed meddelanden från legitima.

Problemet ligger med signering av nycklar som är mindre än 1.024 bitar, vilket kan bero på grund av ökad datorstyrka. US-CERT sade i en rådgivande utfärdad onsdag att signeringstangenter mindre än 1.024 bitar är svaga och att nycklar upp till RSA-768 bitar har beaktats.

[Vidare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Problemet kom fram efter att Florida-baserad matematiker Zachary Harris skickades ett mail från en Google-rekryterare som endast använde en 512-bitars nyckel, enligt en rapport som publicerades onsdagen av Wired magazine.

Tänk på att det kan vara ett smart test av Google, han fakturerade nyckeln, sedan använde den för att skicka ett spoofed meddelande från Sergey Brin till Larry Page, Googles grundare.

Det var inte ett test men faktiskt ett allvarligt problem, en i vilka e-postmeddelanden som kan vara falska skulle lita på. Enligt DKIM-standarden har e-postmeddelanden som har kortare kort än 1.024 bitar inte nödvändigtvis avvisats.

Harris fann att problemet inte var begränsat till Google utan även Microsoft och Yahoo, som alla tycks ha löst problemet för två dagar sedan, enligt US-CERT. Harris sa till Wired att han hittade 512-bitars eller 768-bitars nycklar som används på PayPal, Yahoo, Amazon, eBay, Apple, Dell, LinkedIn, Twitter, SBCGlobal, US Bank, HP, Match.com och HSBC.

Svag Signeringstangenter är en välsignelse för cyberkriminella. De väljer selektivt personer med e-postmeddelanden som innehåller skadliga länkar i ett försök att utnyttja en dators programvara och installera skadlig kod, en typ av attack som kallas spjutfiskning. Om ett e-postmeddelande innehåller rätt DKIM-signatur är det troligare att det hamnar i en mottagarens inkorg.

US-CERT varnar också för ett annat problem. DKIM-specifikationen tillåter en avsändare att flagga att det testar DKIM i meddelanden. Vissa mottagare kommer att "acceptera DKIM-meddelanden i testläge när meddelandena ska behandlas som om de inte var DKIM signerade", säger US-CERT.

Skicka nyhetstips och kommentarer till [email protected]. Följ mig på Twitter: @jeremy_kirk