Google, Microsoft, dan Yahoo memperbaiki kelemahan email yang serius

Google, Microsoft dan Yahoo telah memperbaiki kelemahan cryptographic dalam sistem email mereka yang dapat memungkinkan penyerang untuk membuat pesan palsu yang lolos verifikasi keamanan matematis.

Kelemahan mempengaruhi DKIM, atau DomainKeys Identified Mail, sistem keamanan yang digunakan oleh pengirim email utama. DKIM membungkus tanda tangan kriptografis di sekitar surel yang memverifikasi nama domain melalui mana pesan itu dikirim, yang membantu lebih mudah memfilter pesan palsu dari yang sah.

Masalahnya terletak pada penandatanganan kunci yang kurang dari 1.024 bit, yang dapat diperhitungkan karena meningkatnya daya komputer. US-CERT mengatakan dalam sebuah nasehat yang dikeluarkan hari Rabu bahwa penandatanganan kunci kurang dari 1.024 bit lemah, dan bahwa kunci hingga RSA-768 bit telah diperhitungkan.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Masalahnya terungkap setelah ahli matematika yang bermarkas di Florida, Zachary Harris, mengirim email dari seorang perekrut Google yang hanya menggunakan kunci 512-bit, menurut laporan yang diterbitkan Rabu oleh majalah Wired.

Berpikir itu mungkin beberapa tes pintar oleh Google, ia memfaktorkan kunci itu, lalu menggunakannya untuk mengirim pesan palsu dari Sergey Brin ke Larry Page, pendiri Google.

Itu bukan tes, tapi sebenarnya masalah serius, di mana email yang bisa menjadi palsu akan dipercaya. Menurut standar DKIM, pesan email yang memiliki kunci lebih pendek bahwa 1.024 bit tidak selalu ditolak.

Harris menemukan masalahnya tidak terbatas pada Google, tetapi juga Microsoft dan Yahoo, yang semuanya tampaknya telah memperbaiki masalah ini sebagai dua hari yang lalu, menurut US-CERT. Harris mengatakan kepada Wired bahwa dia menemukan kunci 512-bit atau 768-bit yang digunakan di PayPal, Yahoo, Amazon, eBay, Apple, Dell, LinkedIn, Twitter, SBCGlobal, US Bank, HP, Match.com, dan HSBC.

Lemah kunci penandatanganan adalah keuntungan bagi penjahat dunia maya. Mereka secara selektif menargetkan orang-orang dengan email yang berisi tautan berbahaya dalam upaya untuk mengeksploitasi perangkat lunak komputer dan menginstal malware, gaya serangan yang dikenal sebagai phishing tombak. Jika sebuah email berisi tanda tangan DKIM yang benar, itu lebih mungkin berakhir di kotak masuk penerima.

US-CERT juga memperingatkan masalah lain. Spesifikasi DKIM memungkinkan pengirim untuk menandai bahwa ini menguji DKIM di pesan. Beberapa penerima akan "menerima pesan DKIM dalam mode pengujian ketika pesan harus diperlakukan seolah-olah mereka tidak ditandatangani DKIM," kata US-CERT.

Kirim kiat dan komentar berita ke [email protected]. Ikuti saya di Twitter: @jeremy_kirk