Sebastian Schinzel นักวิจัยความปลอดภัยจาก Münster University of Applied Sciences พบช่องโหว่ความปลอดภัยของระบบ PGP และ S/MIME ที่ใช้เพื่อการส่งอีเมลเข้ารหัสซึ่งเป็นมาตรฐานที่ใช้กันอย่างแพร่หลาย
นักวิจัยที่ค้นพบช่องโหว่เผยว่า ช่องโหว่ที่ค้นพบล่าสุดนี้มีโอกาสที่จะแสดง plaintext ของข้อความเข้ารหัสที่เข้ารหัสแล้วออกมาได้ ซึ่งรวมถึงข้อความเข้ารหัสที่มีการส่งในอดีตด้วย และตอนนี้ยังไม่มีวิธีแก้ปัญหาดังกล่าว
คำแนะนำของทีมที่ค้นพบคือ ผู้ที่ใช้เครื่องมือถอดรหัสข้อความอัตโนมัตินั้นควรจะหยุดการใช้งานทันที โดยลบทิ้งหรือสั่งระงับการใช้งานชั่วคราวก่อน ซึ่งตอนนี้ EFF ได้ออกคำเตือนแล้วว่าควรใช้ช่องทางการติดต่อสื่อสารที่มีความปลอดภัยช่องทางอื่นแทนในระหว่างที่ระบบยังไม่มีแพทซ์ พร้อมรายงานวิธีปิดเครื่องมือปลั๊กอิน PGP ที่ใช้งานกับอีเมลไคลเอนท์ต่าง ๆ ด้วย เช่น Enigmail บน Thunderbird, GPGTools บน Apple Mail, Gpg4win บน Microsoft Outlook
งานวิจัยเรื่องความปลอดภัยของเรื่องนี้จะเปิดเผยในวันอังคารเวลา 7 นาฬิกาตามเวลา UTC หรือประมาณบ่ายสองตามเวลาท้องถิ่นประเทศไทย
ที่มา - TechCrunch, EFF
อัพเดต 15 พฤษภาคม 9:56: เว็บไซต์อื่นเช่น Errata Security เพิ่มเติมจากการทดสอบของทางเว็บไซต์ว่า ช่องโหว่นี้เปิดให้ผู้ดักข้อความสามารถส่งข้อความกลับมาที่ผู้ใช้และปรับรูปแบบใหม่ให้ผู้ดักฟังสามารถถอดรหัสได้ ซึ่งทางเว็บไซต์นี้แนะนำให้ปิดฟีเจอร์ดาวน์โหลดคอนเทนต์ภายนอกอัตโนมัติแทนที่จะปิด PGP ส่วน GNU ออกมารายงานว่าโครงการ GnuPG และ Gpg4win นั้นไม่มีช่องโหว่ แต่เกิดจากตัวอีเมลไคลเอนท์เอง และตอนนี้เริ่มมีชื่อเล่นสำหรับเรียกช่องโหว่นี้แล้วว่า Efail
ภาพจาก Pixabay