Pesquisadores recomendam desabilitar uso de PGP e S/MIME

Pesquisadores recomendam desabilitar uso de PGP e S/MIME. Pesquisadores europeus da Ruhr-University Bochum, na Alemanha, e da KU Leuven University na Bélgica afirmam ter descoberto vulnerabilidades relacionadas a duas técnicas usadas para criptografar e-mails e dados: PGP e S / MIME.

As vulnerabilidades “podem revelar o texto de e-mails criptografados, incluindo e-mails criptografados enviados no passado“, alertam os pesquisadores. E até que as falhas sejam resolvidas, elas recomendam que todos desabilitem quaisquer ferramentas que descriptografem e-mails PGP por padrão.

Ainda não há uma solução completa para o problema, diz Sebastian Schinzel, que faz parte da equipe de pesquisadores. Os pesquisadores apelidaram as falhas de efail. “Atualmente não há correções confiáveis ​​para a vulnerabilidade“, diz Schinzel via Twitter. “Se você usa PGP / GPG ou S / MIME para comunicação muito sensível, você deve desativá-lo em seu cliente de e-mail por enquanto.” Em particular, ele recomenda desativar temporariamente o PGP / GPG no Outlook, no Apple Mail e no Thunderbird.

Os detalhes completos das falhas de implementação foram publicados na segunda-feira em um artigo de pesquisa intitulado “Efail: Quebrando S / MIME e criptografia de e-mail OpenPGP usando canais de exfiltração“.

Segundo o artigo, os ataques do EFAIL exploram vulnerabilidades nos padrões OpenPGP e S / MIME para revelar o texto sem formatação de e-mails criptografados. Em suma, o EFAIL abusa do conteúdo ativo de e-mails HTML, por exemplo imagens ou estilos carregados externamente, para exfiltrar texto sem formatação por meio de URLs solicitados. Para criar esses canais de exfiltração, o invasor precisa primeiro acessar os e-mails criptografados, por exemplo, espionando o tráfego de rede, comprometendo contas de e-mail, servidores de e-mail, sistemas de backup ou computadores clientes. Mesmo os e-mails coletados anos atrás estão sujeitos à mesma falha.

O invasor altera um e-mail criptografado de uma maneira específica e envia esse e-mail criptografado alterado para a vítima. O cliente de e-mail da vítima descriptografa o e-mail e carrega qualquer conteúdo externo, exfiltrando o texto simples para o invasor.

Os clientes de email vulneráveis incluem o aplicativo de correio do iOS, clientes de correio nativo no Android, Outlook e IBM Notes rodando em sistemas Windows, Thunderbird no Linux, bem como o Exchange online, de acordo com os pesquisadores. E os provedores de webmail afetados incluem o FastMail, o Gmail, o GMX, o Hushmail, o iCloud Mail, o Mail.ru, o Mailbox.org, o Mailfence, o Outlook.com, o ProtonMail, o Yahoo Mail e o Zoho Mail.

Green recomendou não usar o PGP em um post de 2014, onde escreveu que “é hora do PGP morrer“, observando que era hora de construir algo muito melhor. “Examinar uma implementação do OpenPGP é como visitar um museu da criptografia dos anos 90“, alertou. Na esteira da nova pesquisa, Green diz ao jornal Süddeutsche Zeitung de Munique: “Este é mais um buraco de bala em um carro já perfurado“.

A Süddeutsche Zeitung relata que, embora muitos dos fornecedores e equipes de software afetados tenham tido meses para corrigir as falhas, eles se deparam com desafios.

Enquanto isso, o grupo de direitos de privacidade digital Electronic Frontier Foundation, que revisou as descobertas dos pesquisadores, confirmou que os bugs representam um risco para qualquer um usando PGP e S / MIME e como uma “solução temporária” recomenda desabilitar qualquer plug-in de e-mail que automaticamente descriptografar essas mensagens.

“A EFF está em comunicação com a equipe de pesquisa e pode confirmar que essas vulnerabilidades representam um risco imediato para aqueles que usam essas ferramentas para comunicação por email, incluindo a possível exposição do conteúdo de mensagens passadas“, diz a organização em um post no blog.

“Nosso conselho, que reflete o dos pesquisadores, é desabilitar e / ou desinstalar ferramentas que automaticamente descriptografam e-mails criptografados com PGP”, diz EFF. “Até que as falhas descritas no documento sejam mais amplamente compreendidas e corrigidas, os usuários devem providenciar o uso de canais seguros end-to-end alternativos, como o Signal, e parar temporariamente o envio e especialmente ler e-mails criptografados pelo PGP.”

Embora os alertas dos especialistas e da EFF, alguns acham que o aviso de vulnerabilidade é exagero. Werner Koch, um mantenedor de componentes centrais do GnuPG – uma implementação completa e gratuita do padrão OpenPGP – diz ter visto uma cópia do artigo dos pesquisadores, com os nomes de todos, menos um agente vulnerável de usuário de e-mail (MUA) e observa que as falhas envolvem a implementação de alguns clientes de e-mail em HTML do PGP.

Koch diz que os pesquisadores descobriram que o HTML pode ser “usado como um canal para criar um oráculo para e-mails criptografados modificados“. Koch diz que a falha de alguns MUAs em bloquear links HTML ocultos é o problema. “Há duas maneiras de mitigar esse ataque“, escreveu Koch : “Não use emails em HTML. Ou, se você realmente precisar lê-los, use um analisador MIME adequado e não permita acesso a links externos.” Além disso, ele escreve: “use criptografia autenticada“.

Mas, embora esse conselho possa ser mais fácil de implementar para qualquer um que use e configure suas próprias ferramentas PGP, ele não aborda como os diversos provedores de webmail, para iniciantes, podem lidar com esses problemas.

Fonte: BankInfoSecurity & Electronic Frontier Foundation & EFAIL

Veja também:

• CAE marca votação da Lei de Privacidade de Dados para dia 22 de maio
• Pesquisa levanta cenário nacional para uso dos profissionais de SI no Brasil
• Nova vulnerabilidade no CISCO Webex
• Twitter na mira de investigações por vazamento de dados
• Lições que aprendi ao ser despedido!
• Twitter pede para 300 milhões de usuários trocarem sua senha
• Resolução BACEN sobre Política Cibernética e uso de Cloud