Falha põe em xeque comunicação segura por email.

Pesquisadores descobriram uma vulnerabilidade crítica que expõe mensagens criptografadas em texto puro, mesmo para emails enviados no passado. A falha foi batizada de EFAIL.

O email não é mais um meio seguro de comunicação”, disse Sebastian Schinzel, professor de segurança da computação da Münster University of Applied Sciences, ao veículo alemão Süddeutschen Zeitun.

A vulnerabilidade foi relatada primeiramente pela Electronic Frontier Foundation (EFF) nas primeiras horas desta segunda-feira (14), e os detalhes apareceram quando o Süddeutschen Zeitun quebrou o embargo de publicação. O grupo de pesquisadores europeus alerta que é preciso parar de usar o PGP completamente e diz que “não existem correções confiáveis para a vulnerabilidade neste momento”.

Dos pesquisadores:

“O ataque EFAIL explora vulnerabilidades nos padrões OpenPGP e S/MIME para revelar texto puro de mensagens criptografadas. Resumindo, o EFAIL abusa do conteúdo ativo de emails HTML, como por exemplo imagens carregadas externamente, para infiltrar-se e obter o texto por meio das URLs solicitadas. Para criar essas canais de infiltração, o atacante precisa primeiro acessar os emails criptografados, espionando o tráfego de rede, comprometendo contas de email, servidores de email, sistemas de backup ou computadores clientes, por exemplo. Os emails podem até mesmo ser coletados há anos.

O atacante altera o email criptografado de alguma maneira particular e envia a mensagem alterada para a vítima. O cliente de email da vítima descriptografa o email e carrega todos os conteúdos externos, consequentemente enviando o texto puro para o atacante”.

Sebastian Schinzel, que é coautor do novo estudo, planejava esperar até as primeiras horas de terça-feira para liberar as descobertas, mas o embargo foi descumprido. No longo prazo, os padrões de segurança precisarão ser drasticamente atualizados, o que os pesquisadores afirmam que levará um bom tempo.

O PGP (Pretty Good Privacy) é um programa de criptografia considerado o padrão de ouro para a segurança de email e foi desenvolvido originalmente em 1991. Emails criptografados, frequentemente colocados como uma espécie de escudo de invisibilidade por alguns especialistas de segurança, se tornaram mais comuns depois que o delator Edward Snowden revelou o escopo da vigilância eletrônica do governo dos EUA, em junho de 2013. Mas essa criptografia não é perfeita, assim como nenhum sistema de segurança.

Por sua vez, a comunidade que defende esses padrões de privacidade insiste que a vulnerabilidade não é tudo isso e que as pessoas estão falando e que há exagero. Werner Koch, principal autor do GNU Privacy Guard, escreve que há duas maneiras de contornar esse ataque: simplesmente não usar emails em HTML e usar criptografia autenticada, algo que é observado no artigo dos pesquisadores.

“Eles descobriram que há clientes de email que não checam corretamente se há erros de decriptografia e que seguem links em mensagens em HTML. Então a vulnerabilidade está nos clientes de email e não nos protocolos. Na verdade, o OpenPGP está imune se for usado corretamente, enquanto o S/MIME não possui uma opção pata atenuar o problema”, escreveu o GNU Privacy Guard no Twitter.

E aí, vai continuar compartilhando os documentos corporativos dos seus clientes através do e-mail?

Conheça a plataforma Escritório.com.vc sem compromisso!

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *