Phát hiện lỗ hổng trong cơ chế mã hóa email PGP/GPG và S/MIME

Buzz

Ngày cập nhật gần nhất: 15/4/2026

Đọc tóm tắt

- Phát hiện lỗ hổng trong công cụ bảo mật email PGP/GPG và S/MIME.
- Cảnh báo từ chuyên gia bảo mật máy tính Sebastian Schinzel.
- Lỗ hổng có thể bị tận dụng để truy cập nội dung rõ của email đã mã hóa.
- Khuyến nghị người dùng chuyển sang sử dụng ứng dụng nhắn tin an toàn Signal.
- Các tiêu chuẩn cần được cập nhật ngay lập tức để ngăn chặn cuộc tấn công EFAIL.
- Người dùng cần thực hiện biện pháp bảo vệ dữ liệu của mình, kích hoạt bảo mật 2 lớp Gmail.
- Avast Antivirus gặp vấn đề tương thích với Windows 10 April 2018 Update, gây phiền toái cho người dùng.

Thông báo mới từ nhóm nghiên cứu an ninh: Phát hiện lỗ hổng trong công cụ bảo mật email PGP/GPG và S/MIME. Theo họ, lỗ hổng này có thể bị tận dụng bởi kẻ tấn công để truy cập nội dung rõ của email được mã hóa và các thông tin đã được gửi trong quá khứ

Sebastian Schinzel, chuyên gia bảo mật máy tính, đã đưa ra cảnh báo trên Twitter, khuyến nghị người dùng của các hệ thống mã hóa này tắt chúng và chuyển sang sử dụng các giải pháp thay thế như ứng dụng nhắn tin an toàn Signal.

Ban đầu, dự kiến lỗ hổng sẽ được tiết lộ vào thứ Ba. Tuy nhiên, nhóm nghiên cứu đã quyết định công bố một bản phân tích sâu rộng về vấn đề ngay hôm nay trên trang web EFAIL, tên này cũng là cách chuyên gia bảo mật mô tả tính dễ bị tổn thương của nó.

Phát hiện ranh giới yếu đuối trong cơ chế mã hóa email PGP/GPG và S/MIME

Theo giải thích của các chuyên gia: 'Các tình tiết tấn công EFAIL khai thác những lỗ hổng trong các tiêu chuẩn OpenPGP và S/MIME để tiết lộ nội dung rõ trong các email đã được mã hóa. Nói chung, EFAIL lợi dụng các yếu tố hoạt động trong email HTML, như việc tải hình ảnh từ địa chỉ URL bên ngoài để rò rỉ nội dung rõ thông qua đường truyền yêu cầu'.

'Để tạo ra những kênh này, đầu tiên, kẻ tấn công cần truy cập vào các email đã được mã hóa, ví dụ như thông qua lưu lượng truy cập mạng, xâm phạm tài khoản email, máy chủ email, hệ thống sao lưu hoặc máy tính người dùng. Thậm chí, những email này có thể đã được thu thập từ nhiều năm trước'.

Các tiêu chuẩn cần phải được cập nhật ngay lập tức

Electronic Frontier Foundation vừa đăng bài cảnh báo trên blog về lỗ hổng, giải thích rằng các plugin mã hóa trong các ứng dụng phổ biến như Thunderbird với Enigmail, Apple Mail với GPGTTools và Outlook với Gpg4win đang có rủi ro bị rò rỉ.

EFF khuyến cáo: 'Người dùng nên tắt hoặc gỡ bỏ cài đặt các công cụ tự động giải mã email được mã hóa PGP', và đề xuất người dùng chỉ nên quay lại cài đặt trước đó khi đã có bản vá an toàn.

Ngoài ra, các nhà nghiên cứu lưu ý rằng cần cập nhật các chuẩn OpenPGP và S/MIME để chống lại cuộc tấn công EFAIL, nhưng cũng nhấn mạnh rằng quá trình này sẽ mất thời gian.

Người dùng email cần thực hiện biện pháp bảo vệ dữ liệu của mình. Với người dùng Gmail, không chỉ cần đặt mật khẩu mạnh mà còn quan trọng là kích hoạt bảo mật 2 lớp. Hãy thực hiện các bước cập nhật và xác minh bảo mật 2 lớp Gmail để tăng cường an ninh cho hòm thư của bạn.

Mặc dù Avast Antivirus được đánh giá là một trong những ứng dụng diệt virus hàng đầu, nhưng có vẻ đội ngũ phát triển chưa hoàn toàn tối ưu hóa cho hệ điều hành Windows 10 April 2018 Update. Điều này đã gây ra một số vấn đề tương thích, khiến cho người dùng phải đối mặt với những phiền toái không đáng có.

Các câu hỏi thường gặp

Làm thế nào để bảo vệ email của tôi trước lỗ hổng EFAIL?

Để bảo vệ email, bạn nên tắt các công cụ mã hóa PGP/GPG và S/MIME ngay lập tức. Chuyển sang sử dụng các ứng dụng nhắn tin an toàn như Signal cho việc trao đổi thông tin nhạy cảm.

Có cần cập nhật tiêu chuẩn OpenPGP và S/MIME không?

Có, việc cập nhật các tiêu chuẩn OpenPGP và S/MIME là cần thiết để ngăn chặn các cuộc tấn công EFAIL. Tuy nhiên, quá trình này có thể mất thời gian, vì vậy bạn nên thực hiện các biện pháp bảo vệ tạm thời.

Người dùng Gmail cần thực hiện những biện pháp nào để tăng cường bảo mật?

Người dùng Gmail nên đặt mật khẩu mạnh và kích hoạt bảo mật 2 lớp. Điều này giúp bảo vệ tài khoản khỏi các cuộc tấn công và đảm bảo an toàn cho dữ liệu cá nhân.

Có cách nào nhận diện các lỗ hổng trong ứng dụng mã hóa không?

Bạn có thể theo dõi các bản cập nhật từ các tổ chức an ninh như Electronic Frontier Foundation. Họ thường công bố cảnh báo về các lỗ hổng và hướng dẫn bảo mật cần thiết cho người dùng.

Nội dung từ Mytour nhằm chăm sóc khách hàng và khuyến khích du lịch, chúng tôi không chịu trách nhiệm và không áp dụng cho mục đích khác.

Nếu bài viết sai sót hoặc không phù hợp, vui lòng liên hệ qua Zalo: 0978812412 hoặc Email: [email protected]