Google, माइक्रोसॉफ्ट और याहू गंभीर ईमेल कमजोरी को ठीक करते हैं

Google, माइक्रोसॉफ्ट और याहू ने अपने ईमेल सिस्टम में एक क्रिप्टोग्राफिक कमजोरी का इलाज किया है जो हमलावर को एक धोखाधड़ी संदेश बनाने की अनुमति दे सकता है जो गणितीय सुरक्षा सत्यापन पास करता है।

कमजोरी डीकेआईएम, या डोमेनकीज पहचान पत्र को प्रभावित करती है, एक सुरक्षा प्रणाली प्रमुख ईमेल प्रेषकों द्वारा। डीकेआईएम एक ईमेल के चारों ओर एक क्रिप्टोग्राफिक हस्ताक्षर लपेटता है जो उस डोमेन नाम को सत्यापित करता है जिसके माध्यम से संदेश भेजा गया था, जो वैध लोगों से स्पूफ किए गए संदेशों को अधिक आसानी से फ़िल्टर करने में मदद करता है।

समस्या हस्ताक्षर कुंजी के साथ निहित है जो 1,024 बिट्स से कम है, जो कर सकते हैं बढ़ती कंप्यूटर शक्ति के कारण कारगर बनें। यूएस-सीईआरटी ने बुधवार को जारी एक सलाहकार में कहा कि 1,024 बिट्स से कम हस्ताक्षर कुंजी कमजोर हैं, और आरएसए -768 बिट्स तक की चाबियाँ तय की गई हैं।

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

फ्लोरिडा स्थित गणितज्ञ जॅचरी हैरिस को बुधवार को प्रकाशित एक रिपोर्ट के मुताबिक, फ्लोरिडा स्थित गणितज्ञ जॅचरी हैरिस को Google भर्तीकर्ता से एक ईमेल भेजा गया था, जो कि केवल 512-बिट कुंजी का इस्तेमाल किया गया था।

सोच रहा है कि यह कुछ चालाक परीक्षण हो सकता है Google द्वारा, उन्होंने कुंजी को संभाला, फिर सर्गेई ब्रिन से Google के संस्थापक लैरी पेज पर एक धोखाधड़ी संदेश भेजने के लिए इसका इस्तेमाल किया।

यह एक परीक्षण नहीं था, लेकिन वास्तव में एक गंभीर समस्या थी, जिसमें एक ईमेल जो फर्जी हो सकता है भरोसा किया जाएगा। डीकेआईएम मानक के अनुसार, ईमेल संदेशों में जिनके पास कुंजी कम है, 1,024 बिट्स को जरूरी नहीं माना जाता है।

हैरिस ने पाया कि समस्या Google तक ही सीमित नहीं थी, बल्कि माइक्रोसॉफ्ट और याहू, जिनमें से सभी ने इस मुद्दे को ठीक किया है यूएस-सीईआरटी के अनुसार, दो दिन पहले। हैरिस ने वायर्ड से कहा कि उन्हें पेपैल, याहू, अमेज़ॅन, ईबे, ऐप्पल, डेल, लिंक्डइन, ट्विटर, एसबीसी ग्लोबल, यूएस बैंक, एचपी, मैच डॉट कॉम और एचएसबीसी में उपयोग में 512-बिट या 768-बिट कुंजी मिलती हैं।

कमजोर साइनिंग कुंजी साइबर अपराधियों के लिए एक वरदान हैं। वे कंप्यूटर के सॉफ़्टवेयर का शोषण करने और मैलवेयर इंस्टॉल करने के प्रयास में दुर्भावनापूर्ण लिंक वाले ईमेल वाले लोगों को चुनिंदा रूप से लक्षित करते हैं, भाषण फ़िशिंग के रूप में जाने वाले हमले की शैली। यदि किसी ईमेल में सही डीकेआईएम हस्ताक्षर होता है, तो प्राप्तकर्ता के इनबॉक्स में समाप्त होने की संभावना अधिक होती है।

यूएस-सीईआरटी ने एक और समस्या की भी चेतावनी दी। डीकेआईएम विनिर्देश एक प्रेषक को ध्वजांकित करने की अनुमति देता है कि यह संदेशों में डीकेआईएम का परीक्षण कर रहा है। यूएस-सीईआरटी ने कहा, "कुछ प्राप्तकर्ता" डीकेआईएम संदेशों को परीक्षण मोड में स्वीकार करेंगे जब संदेशों का इलाज किया जाना चाहिए जैसे कि वे डीकेआईएम हस्ताक्षरित नहीं थे। "99

जेरेमी_किर्क @idg.com पर समाचार युक्तियाँ और टिप्पणियां भेजें। ट्विटर पर मेरा अनुसरण करें: @jeremy_kirk