Usuários comuns dificilmente usam alguma proteção para enviar/receber emails. Algumas empresas e pessoas, porém, recorrem ao PGP1Pretty good privacy, ou privacidade muito boa., GPG2GNU privacy guard, ou guarda privado GNU. e S/MIME3Secure/multipurpose internet mail extensions, ou extensões seguras/multifuncionais de mensagens na internet. para fornecer uma camada de proteção em cima das mensagens trocadas.
We'll publish critical vulnerabilities in PGP/GPG and S/MIME email encryption on 2018-05-15 07:00 UTC. They might reveal the plaintext of encrypted emails, including encrypted emails sent in the past. #efail 1/4
— Sebastian Schinzel (@seecurity) 14 de maio de 2018
De acordo com Sebastian Schinzel, professor de segurança de computação, tais proteções têm vulnerabilidades críticas que podem revelar o texto não-criptografado de emails encriptados, incluindo mensagens já enviados. Todas as informações relacionadas às vulnerabilidades encontradas serão publicadas amanhã, às 4h (pelo horário de Brasília).
Por enquanto não há correções disponíveis e única coisa que você pode fazer é desativar PGP/GPG ou S/MIME no seu cliente de email. Os clientes afetados (com seus respectivos plugins de proteção) são: Thunderbird com Enigmail, Apple Mail com GPGTools e Outlook com Gpg4win.
O problema
O falha envolve usar respostas multipartes para explorar problemas de renderização de HTML. Se um invasor obtiver o conteúdo de email criptografado de uma pessoa, ele consegue enviar o texto criptografado de volta ao usuário e revelar o formulário do texto sem criptografia sem precisar ter acesso às chaves de criptografia privadas do remetente.
O invasor envia três partes (uma declaração parcial da tag HTML img
e uma sequência de texto criptografado, seguida pelo HTML de fechamento da tag de imagem). Isso faz com que o cliente de email descriptografe o texto e o transforme na URL de origem da imagem falsa.
Quando a pessoa abre o email no seu cliente, ele tentará buscar a URL para carregar a imagem. O servidor do invasor registra a solicitação e fica com uma cópia do conteúdo descriptografado.
Como remover o GPG Tools do Mail no macOS
Se você por um acaso tem o plugin GPG Tools (GPGMail) instalado no Mail, siga a recomendação abaixo para removê-lo até que tudo seja devidamente corrigido:
- Feche o aplicativo Mail (Mail » Encerrar Mail ou pelo atalho
⌘
Q
); - No Finder, vá em Ir » Ir Para Pasta… (
⇧
⌘
G
); - Digite
/Library/Mail/Bundles
; - Remova o arquivo
GPGMail.mailbundle
(arrastando para o Lixo ou clicando com o botão direito em cima dele, esoclhendo a opção “Mover para o Lixo”); - Digite a sua senha de administrador para confirmar a operação;
- Se você não encontrar o arquivo na pasta, volte para o passo 2 e digite
~/Library/Mail/Bundles
.
Pronto, quando você abrir o Mail novamente, o plugin não fará mais parte dele.
No iOS
No iOS a coisa é bem mais simples, basta ir em Ajustes » Mail e desativar a opção “Carregar Imagens”.
E agora?
A falha poderá ser resolvida com uma atualização de software — e, com certeza, os responsáveis já estão trabalhando nisso.
Como alternativa momentânea — para quem realmente precisa de uma comunicação protegida ponta-a-ponta, o ideal é migrar para algum mensageiro como o Signal ou o iMessage (no Signal, há ainda o recurso que faz as mensagens desaparecerem).
Notas de rodapé
- 1Pretty good privacy, ou privacidade muito boa.
- 2GNU privacy guard, ou guarda privado GNU.
- 3Secure/multipurpose internet mail extensions, ou extensões seguras/multifuncionais de mensagens na internet.