Pesquisadores descobrem vulnerabilidades em plugins de criptografia de email (PGP, GPG e S/MIME)

Usuários comuns dificilmente usam alguma proteção para enviar/receber emails. Algumas empresas e pessoas, porém, recorrem ao PGP1, GPG2 e S/MIME3 para fornecer uma camada de proteção em cima das mensagens trocadas.

Publicidade

De acordo com Sebastian Schinzel, professor de segurança de computação, tais proteções têm vulnerabilidades críticas que podem revelar o texto não-criptografado de emails encriptados, incluindo mensagens já enviados. Todas as informações relacionadas às vulnerabilidades encontradas serão publicadas amanhã, às 4h (pelo horário de Brasília).

Por enquanto não há correções disponíveis e única coisa que você pode fazer é desativar PGP/GPG ou S/MIME no seu cliente de email. Os clientes afetados (com seus respectivos plugins de proteção) são: Thunderbird com Enigmail, Apple Mail com GPGTools e Outlook com Gpg4win.

Publicidade

O problema

O falha envolve usar respostas multipartes para explorar problemas de renderização de HTML. Se um invasor obtiver o conteúdo de email criptografado de uma pessoa, ele consegue enviar o texto criptografado de volta ao usuário e revelar o formulário do texto sem criptografia sem precisar ter acesso às chaves de criptografia privadas do remetente.

O invasor envia três partes (uma declaração parcial da tag HTML img e uma sequência de texto criptografado, seguida pelo HTML de fechamento da tag de imagem). Isso faz com que o cliente de email descriptografe o texto e o transforme na URL de origem da imagem falsa.

Quando a pessoa abre o email no seu cliente, ele tentará buscar a URL para carregar a imagem. O servidor do invasor registra a solicitação e fica com uma cópia do conteúdo descriptografado.

Publicidade

Como remover o GPG Tools do Mail no macOS

Se você por um acaso tem o plugin GPG Tools (GPGMail) instalado no Mail, siga a recomendação abaixo para removê-lo até que tudo seja devidamente corrigido:

  1. Feche o aplicativo Mail (Mail » Encerrar Mail ou pelo atalho Q);
  2. No Finder, vá em Ir » Ir Para Pasta… (G);
  3. Digite /Library/Mail/Bundles;
  4. Remova o arquivo GPGMail.mailbundle (arrastando para o Lixo ou clicando com o botão direito em cima dele, esoclhendo a opção “Mover para o Lixo”);
  5. Digite a sua senha de administrador para confirmar a operação;
  6. Se você não encontrar o arquivo na pasta, volte para o passo 2 e digite ~/Library/Mail/Bundles.

Pronto, quando você abrir o Mail novamente, o plugin não fará mais parte dele.

No iOS

No iOS a coisa é bem mais simples, basta ir em Ajustes » Mail e desativar a opção “Carregar Imagens”.

Publicidade

E agora?

A falha poderá ser resolvida com uma atualização de software — e, com certeza, os responsáveis já estão trabalhando nisso.

Como alternativa momentânea — para quem realmente precisa de uma comunicação protegida ponta-a-ponta, o ideal é migrar para algum mensageiro como o Signal ou o iMessage (no Signal, há ainda o recurso que faz as mensagens desaparecerem).

via MacRumors: 1, 2; 9to5Mac

Taggeado:

Posts relacionados

Comentários

Carregando os comentários…