Descobriu-se que um método amplamente usado de criptografia de e-mails sofre uma séria vulnerabilidade, dizem os pesquisadores.
O PGP (Pretty Good Privacy) é um método de criptografia de dados, às vezes adicionado a programas que enviam e recebem e-mails.
Detalhes sobre a vulnerabilidade foram divulgados pelo jornal Suddeutsche Zeitung antes de um embargo programado.
Anteriormente, a Electronic Frontier Foundation (EFF) havia aconselhado a desabilitação imediata de ferramentas de email que descriptografavam automaticamente o PGP.
O problema havia sido investigado por Sebastian Schinzel, da Universidade de Ciências Aplicadas de Munster.
Depois que o embargo à divulgação de detalhes sobre a vulnerabilidade foi levantado, Schinzel e colegas publicaram suas pesquisas revelando como o ataque aos e-mails de PGP funcionava.
O Sr. Schinzel foi contatado pela BBC para comentar.
Inicialmente, havia preocupação entre os pesquisadores em segurança cibernética de que o problema afetava o protocolo central do PGP - o que significa que todos os usos do método de criptografia, incluindo a criptografia de arquivos, poderiam se tornar vulneráveis.
No entanto, um fornecedor de software que pode criptografar dados usando o PGP explicou o problema especificamente relacionado a programas de e-mail que falharam na verificação de erros de descriptografia apropriadamente antes de seguir links em e-mails que incluíam código HTML.
A questão foi "exagerada" pela FEP, disse Werner Koch, do GnuPG.
Seu colega Robert Hansen disse no Twitter que a questão já era conhecida há algum tempo.
it's just a modern spin on something we started defending against almost twenty years ago.
If you're worried about the Efail attack, upgrade to the latest version
of GnuPG and check with your email plugin vendor to see if they handle
MDC errors correctly. Most do. 10/
Ele argumentou que não era realmente uma vulnerabilidade no sistema OpenPGP, mas sim em programas de e-mail que haviam sido projetados sem as devidas salvaguardas.
'Segredos reais' arriscaram
O especialista em segurança Mikko Hypponen, da F-Secure, disse que seu entendimento era que a vulnerabilidade poderia, em teoria, ser usada para descriptografar um cache de e-mails criptografados enviados no passado, se um invasor tivesse acesso a esses dados.
"Isso é ruim porque as pessoas que usam o PGP o usam por uma razão", disse ele à BBC.
"As pessoas não usam isso para se divertir - as pessoas que o usam têm segredos reais, como segredos comerciais ou coisas confidenciais".
Alan Woodward, da Universidade de Surrey, concordou, acrescentando: "Isso tem algumas grandes implicações, pois pode levar a um canal para esconder dados de dispositivos, bem como para descriptografar mensagens".
Os pesquisadores disseram que os usuários do e-mail PGP podem desativar o HTML em seus programas de e-mail para se manterem protegidos contra ataques baseados na vulnerabilidade.
Também é possível descriptografar e-mails com ferramentas de descriptografia PGP separadas dos programas de e-mail.
Sem comentários:
Enviar um comentário