Pesquisadores descobrem vulnerabilidades em plugins de criptografia de email (PGP, GPG e S/MIME)

Usuários comuns dificilmente usam alguma proteção para enviar/receber emails. Algumas empresas e pessoas, porém, recorrem ao PGP¹Pretty good privacy, ou privacidade muito boa., GPG²GNU privacy guard, ou guarda privado GNU. e S/MIME³Secure/multipurpose internet mail extensions, ou extensões seguras/multifuncionais de mensagens na internet. para fornecer uma camada de proteção em cima das mensagens trocadas.

We'll publish critical vulnerabilities in PGP/GPG and S/MIME email encryption on 2018-05-15 07:00 UTC. They might reveal the plaintext of encrypted emails, including encrypted emails sent in the past. #efail 1/4

— Sebastian Schinzel (@seecurity) 14 de maio de 2018

De acordo com Sebastian Schinzel, professor de segurança de computação, tais proteções têm vulnerabilidades críticas que podem revelar o texto não-criptografado de emails encriptados, incluindo mensagens já enviados. Todas as informações relacionadas às vulnerabilidades encontradas serão publicadas amanhã, às 4h (pelo horário de Brasília).

Por enquanto não há correções disponíveis e única coisa que você pode fazer é desativar PGP/GPG ou S/MIME no seu cliente de email. Os clientes afetados (com seus respectivos plugins de proteção) são: Thunderbird com Enigmail, Apple Mail com GPGTools e Outlook com Gpg4win.

O problema

O falha envolve usar respostas multipartes para explorar problemas de renderização de HTML. Se um invasor obtiver o conteúdo de email criptografado de uma pessoa, ele consegue enviar o texto criptografado de volta ao usuário e revelar o formulário do texto sem criptografia sem precisar ter acesso às chaves de criptografia privadas do remetente.

O invasor envia três partes (uma declaração parcial da tag HTML img e uma sequência de texto criptografado, seguida pelo HTML de fechamento da tag de imagem). Isso faz com que o cliente de email descriptografe o texto e o transforme na URL de origem da imagem falsa.

Quando a pessoa abre o email no seu cliente, ele tentará buscar a URL para carregar a imagem. O servidor do invasor registra a solicitação e fica com uma cópia do conteúdo descriptografado.

Como remover o GPG Tools do Mail no macOS

Se você por um acaso tem o plugin GPG Tools (GPGMail) instalado no Mail, siga a recomendação abaixo para removê-lo até que tudo seja devidamente corrigido:

1. Feche o aplicativo Mail (Mail » Encerrar Mail ou pelo atalho ⌘Q);
2. No Finder, vá em Ir » Ir Para Pasta… (⇧⌘G);
3. Digite /Library/Mail/Bundles;
4. Remova o arquivo GPGMail.mailbundle (arrastando para o Lixo ou clicando com o botão direito em cima dele, esoclhendo a opção “Mover para o Lixo”);
5. Digite a sua senha de administrador para confirmar a operação;
6. Se você não encontrar o arquivo na pasta, volte para o passo 2 e digite ~/Library/Mail/Bundles.

Pronto, quando você abrir o Mail novamente, o plugin não fará mais parte dele.

No iOS

No iOS a coisa é bem mais simples, basta ir em Ajustes » Mail e desativar a opção “Carregar Imagens”.

E agora?

A falha poderá ser resolvida com uma atualização de software — e, com certeza, os responsáveis já estão trabalhando nisso.

Como alternativa momentânea — para quem realmente precisa de uma comunicação protegida ponta-a-ponta, o ideal é migrar para algum mensageiro como o Signal ou o iMessage (no Signal, há ainda o recurso que faz as mensagens desaparecerem).

via MacRumors: 1, 2; 9to5Mac

Notas de rodapé

• 1
  Pretty good privacy, ou privacidade muito boa.
• 2
  GNU privacy guard, ou guarda privado GNU.
• 3
  Secure/multipurpose internet mail extensions, ou extensões seguras/multifuncionais de mensagens na internet.