Pesquisadores descobrem vulnerabilidades em plugins de criptografia de email (PGP, GPG e S/MIME)

Imagem de destaque


Usuários comuns dificilmente usam alguma proteção para enviar/receber emails. Algumas empresas e pessoas, porém, recorrem ao PGP1, GPG2 e S/MIME3 para fornecer uma camada de proteção em cima das mensagens trocadas.

De acordo com Sebastian Schinzel, professor de segurança de computação, tais proteções têm vulnerabilidades críticas que podem revelar o texto não-criptografado de emails encriptados, incluindo mensagens já enviados. Todas as informações relacionadas às vulnerabilidades encontradas serão publicadas amanhã, às 4h (pelo horário de Brasília).

Por enquanto não há correções disponíveis e única coisa que você pode fazer é desativar PGP/GPG ou S/MIME no seu cliente de email. Os clientes afetados (com seus respectivos plugins de proteção) são: Thunderbird com Enigmail, Apple Mail com GPGTools e Outlook com Gpg4win.

O problema

O falha envolve usar respostas multipartes para explorar problemas de renderização de HTML. Se um invasor obtiver o conteúdo de email criptografado de uma pessoa, ele consegue enviar o texto criptografado de volta ao usuário e revelar o formulário do texto sem criptografia sem precisar ter acesso às chaves de criptografia privadas do remetente.

O invasor envia três partes (uma declaração parcial da tag HTML img e uma sequência de texto criptografado, seguida pelo HTML de fechamento da tag de imagem). Isso faz com que o cliente de email descriptografe o texto e o transforme na URL de origem da imagem falsa.

Quando a pessoa abre o email no seu cliente, ele tentará buscar a URL para carregar a imagem. O servidor do invasor registra a solicitação e fica com uma cópia do conteúdo descriptografado.

Como remover o GPG Tools do Mail no macOS

Se você por um acaso tem o plugin GPG Tools (GPGMail) instalado no Mail, siga a recomendação abaixo para removê-lo até que tudo seja devidamente corrigido:

  1. Feche o aplicativo Mail (Mail » Encerrar Mail ou pelo atalho Q);
  2. No Finder, vá em Ir » Ir Para Pasta… (G);
  3. Digite /Library/Mail/Bundles;
  4. Remova o arquivo GPGMail.mailbundle (arrastando para o Lixo ou clicando com o botão direito em cima dele, esoclhendo a opção “Mover para o Lixo”);
  5. Digite a sua senha de administrador para confirmar a operação;
  6. Se você não encontrar o arquivo na pasta, volte para o passo 2 e digite ~/Library/Mail/Bundles.

Pronto, quando você abrir o Mail novamente, o plugin não fará mais parte dele.

No iOS

No iOS a coisa é bem mais simples, basta ir em Ajustes » Mail e desativar a opção “Carregar Imagens”.

E agora?

A falha poderá ser resolvida com uma atualização de software — e, com certeza, os responsáveis já estão trabalhando nisso.

Como alternativa momentânea — para quem realmente precisa de uma comunicação protegida ponta-a-ponta, o ideal é migrar para algum mensageiro como o Signal ou o iMessage (no Signal, há ainda o recurso que faz as mensagens desaparecerem).

via MacRumors: 1, 2; 9to5Mac

Posts recomendados
Comentários

O Modo Escuro foi ativado ou desativado.
Atualize esta página para ver os comentários.


Carregar mais posts recentes

Relatório de erro de ortografia

O texto a seguir será enviado para nossos editores: