兩大郵件加密軟件現漏洞 專家籲立即停用

PGP和S/MIME兩大相當受歡迎的郵件加密軟件，歐洲研究人員日前發現其出現漏洞容易受到黑客攻擊及入侵，呼籲用戶立即停用並移除軟件，暫時使用Signal。

路透社報道，德國明斯特（Muenster）和波鴻（Bochum）以及比利時魯汶（Leuven）的大學研究人員已經發現了這二種加密方法中的缺陷，這些缺陷可能導致微軟（Microsoft Outlook）和蘋果（Apple）郵件系統都陷於危險境地，目前尚無可靠的漏洞修復方案。

研究人員表示，如果用戶正在用PGP或S/MIME軟件傳遞、收取非常敏感的郵件，應該立即停用、移除。

德國明斯特應用科學大學電腦安全教授Sebastian Schinzel在推特發文說：「這些漏洞可能會讓黑客讀取加密電子郵件的明文，包括過去發送的加密電子郵件。目前沒有可靠的修復漏洞方案，如果您使用PGP/GPG或S/MIME進行非常敏感的通信，現在應該在您的電子郵件客戶端中禁用它。」

There are currently no reliable fixes for the vulnerability. If you use PGP/GPG or S/MIME for very sensitive communication, you should disable it in your email client for now. Also read @EFF’s blog post on this issue: https://t.co/zJh2YHhE5q #efail 2/4

— Sebastian Schinzel (@seecurity) May 14, 2018

電子前沿基金會（Electronic Frontier Foundation，EFF）亦有一篇博客中確認PGP和S/MIME軟件中有漏洞，指出這些漏洞對使用這些工具進行電子郵件通信的人員構成直接威脅，黑客可直接竊取郵件的純文字版本，甚至能讓舊郵件內容曝光，呼籲用戶暫時改用相對安全的通訊應用程式Signal。

EFF還呼籲用戶應立即禁用或卸載PGP擴充工具，包括用於Apple Mail的GPGTools、用於Microsoft Outlook的Gpg4win以及用於Mozilla Thunderbirdl的Enigmail。

EFF並表示，他們將在加州時間周一晚上晚些時候發表一篇由歐洲安全研究人員撰寫的論文。

Critical PGP and S/MIME bugs can reveal encrypted e-mails. Uninstall now https://t.co/o4v70V8PRv by @dangoodin001

— Ars Technica (@arstechnica) May 14, 2018