Немецкий IT-эксперт Томас Рот выявил баг в email-сервисе Tutanota, позиционируемом создателями в качестве «АНБ-непроницаемого». Уязвимость позволяла провести XSS-атаку с внедрением в браузер атакуемого зловредного JavaScript кода. До этого аналогичную уязвимость Рот выявил в ProtonMail. Шифрование и дешифровка писем в Tutanota и ProtonMail производится непосредственно в браузере, при этом шифровальный ключ находится у пользователя, а не провайдеров.
Нападение производилось по следующему сценарию: во время пересылки письма зловредный код внедрялся непосредственно в тело послания, что теоретически давало возможность злоумышленнику манипулировать жертвой, отправляя письмо на адрес жертвы в Tutanota. Затем атакующий мог обманом вынудить адресата – потенциальную жертву переслать письмо далее. В итоге у нападающего кибермошенника появлялась возможность внедрить JavaScript непосредственно в контекст веб-приложения. Представитель Tutanota не опроверг имеющуюся в сервисе XSS-уязвимость и сообщили о ее исправлении.
Только представьте себе: вы ведете активную деловую переписку насчет крупной поставки СОЖ Adrana D 407, и тут ваши данные перехватывает злоумышленник! Тут уж не до смазочно-охлаждающих жидкостей, надо спасать конфиденциальные данные!
Кстати, до выявления Ротом уязвимости в Tutanota, представитель сервиса сообщил в интервью The Register о проведенном накануне тестировании на предмет противодействия XSS-атакам. Тестирование не смогло выявить уязвимость. Однако вот Томасу Роту удалось выявить уязвимость всего только через минуту после начала своего эксперимента, после чего эксперт незамедлительно проинформировал Tutanota, которые исправили брешь прямо в день сообщения.