Pesquisadores da Munster University of Applied Sciences descobriram vulnerabilidades nas tecnologias Pretty Good Protection (PGP) e S/MIME usadas para criptografar e-mails. O problema reside em como clientes de e-mail use esses plug-ins para descriptografar e-mails baseados em HTML. Indivíduos e empresas são incentivados a desativar o PGP e/ou S/MIME em seus clientes de e-mail por enquanto e usar um aplicativo separado para criptografia de mensagens.
Chamado EFAIL, a vulnerabilidade abusa do conteúdo “ativo” renderizado em e-mails baseados em HTML, como imagens, estilos de página e outros conteúdos não textuais armazenados em um servidor remoto. Para realizar um ataque com sucesso, o hacker deve primeiro ter o e-mail criptografado em posse, seja por meio de espionagem, invasão de um servidor de e-mail e assim por diante.
Vídeos recomendados
O primeiro método de ataque é chamado de “Exfiltração Direta” e explora vulnerabilidades no Apple Mail, iOS Mail e Mozilla Thunderbird. Um invasor cria um e-mail baseado em HTML composto por três partes: o início de uma tag de solicitação de imagem, o texto cifrado PGP ou S/MIME “roubado” e o final de uma tag de solicitação de imagem. O invasor então envia este e-mail revisado para a vítima.
Do lado da vítima, o cliente de e-mail primeiro descriptografa a segunda parte e depois combina todas as três em um único e-mail. Em seguida, ele converte tudo em um formato de URL começando com o endereço do hacker e envia uma solicitação a esse URL para recuperar a imagem inexistente. O hacker recebe a solicitação de imagem, que contém toda a mensagem descriptografada.
O segundo método é chamado de “Ataque de gadget CBC/CFB”, que reside nas especificações PGP e S/MIME, afetando todos os clientes de e-mail. Nesse caso, o invasor localiza o primeiro bloco de texto simples criptografado no e-mail roubado e adiciona um bloco falso preenchido com zeros. O invasor então injeta tags de imagem no texto simples criptografado, criando uma única parte do corpo criptografada. Quando o cliente da vítima abre a mensagem, o texto simples é exposto ao hacker.
Em última análise, se você não usar PGP ou S/MIME para criptografia de e-mail, então não há nada com que se preocupar. Mas indivíduos, empresas e corporações que usam essas tecnologias diariamente são aconselhados a desabilitar plug-ins relacionados e usar um cliente de terceiros para criptografar e-mails, como Sinal (iOS, Android). E porque EFAIL depende de e-mails baseados em HTML, desabilitar a renderização de HTML também é aconselhável por enquanto.
“Esta vulnerabilidade pode ser usada para descriptografar o conteúdo de e-mails criptografados enviados no passado. Tendo usado o PGP desde 1993, isso parece baaad (sic),” Mikko Hypponen da F-Secure escreveu em um tweet. Ele mais tarde disse que as pessoas usam criptografia por um motivo: segredos comerciais, informações confidenciais e muito mais.
Segundo os pesquisadores, “alguns” desenvolvedores de clientes de e-mail já estão trabalhando em patches que eliminam o EFAIL completamente ou torna as explorações mais difíceis de realizar. Eles dizem que os padrões PGP e S/MIME precisam de uma atualização, mas isso “levará algum tempo”. O documento técnico completo pode ser lido aqui.
O problema foi vazado pela primeira vez pelo Süddeutschen Zeitun jornal antes do embargo de notícias programado. Depois de A EFF contatou os pesquisadores para confirmar as vulnerabilidades, os pesquisadores foram forçados a divulgar o artigo técnico prematuramente.
Recomendações dos Editores
- Esta exploração crítica pode permitir que hackers contornem as defesas do seu Mac
- Novos e-mails de phishing COVID-19 podem roubar seus segredos comerciais
- Atualize seu Mac agora para corrigir a vulnerabilidade que dá acesso total a aplicativos espiões
- Google diz que hackers conseguem acessar os dados do seu iPhone há anos
- Hackers podem falsificar mensagens do WhatsApp que parecem ser suas
Atualize seu estilo de vidaDigital Trends ajuda os leitores a manter o controle sobre o mundo acelerado da tecnologia com as últimas notícias, análises divertidas de produtos, editoriais criteriosos e prévias únicas.