Um grupo de pesquisadores de segurança europeus divulgaram um alerta sobre um conjunto de vulnerabilidades afetando usuários de PGP e S/MIME. A EFF entrou em contato com os pesquisadores e pôde confirmar que essas vulnerabilidades representam um risco imediato para aqueles utilizando tais ferramentas para comunicação via e-mail, incluindo a potencial exposição de mensagens anteriores.
Os detalhes completos serão liberados em um artigo a ser publicado na Terça-Feira, às 7 da manhã, horário UTC (4 da manhã, horário de Brasília). Até lá, os usuários são alertados a desabilitar ou desinstalar ferramentas que descriptografam automaticamente e-mails criptografados com PGP. Até que as falhas sejam corrigidas, os usuários devem procurar canais seguros de ponta-a-ponta, como Signal, e parar de enviar e ler e-mails criptografados com PGP.
Fonte da fonte: https://www.eff.org/deeplinks/2018/05/attention-pgp-users-new-vulnerabilities-require-you-take-action-now
O que é?
EFAIL é mais uma daquelas vulnerabilidades que possuem até nome próprio pra ganhar tração na mídia. É um ataque que busca a obtenção dos dados de emails criptografados através da modificação parcial de uma mensagem. O ataque pode ocorrer de duas formas ou variantes:
1. Injetando códigos HTML que remetam a uma URL externa como por exemplo, uma imagem com o fechamento de tag após a mensagem encriptada. Ao receber a mensagem modificada por alguém que está executando o man-in-the-middle, o cliente de emails(Thunderbird, Apple Mail, iOS mails) vulnerável irá abrir a mensagem encriptada com as chaves privadas configuradas e a mensagem em texto plano será remetida a um servidor servidor através da URL.
2. Abusando de uma falha na lógica da cifra em blocos do padrão OpenPGP e do funcionamento do S/MIME multipartes. Basicamente, sabendo alguns trechos do texto desencriptado de um S/MIME(lembre-se o cabeçalho é sempre o previsível “Content-type: multipart/signed”), um atacante pode revezar alguns blocos de mensagem, posicionar mais pra frente um bloco criptografado com zeros, e outro com uma falha similar a do tipo 1 de ataque, fazendo com que o cliente que possui as chaves pré-configuradas consuma código HTML que poderá vazar a informação do email. Esta forma de ataque pode utilizar mensagens criptografadas que já foram entregues mas estão disponíveis na internet em sua forma ainda encriptada, e são retransmitidas para uma vítima que utiliza um cliente vulnerável.
O que você pode fazer para minimizar ou evitar o ataque:
- Desativar a visualização automática de HTML do seu cliente.
- Remover suas chaves privadas do cliente de email.
- Utilizar um dos dois únicos clientes não vulneráveis(Claws e Mutt).
- Copiar o texto referente a mensagem encriptada e revelar com um software externo, sem confiar nas capacidades do seu cliente de email.
- Parar de usar emails como método de comunicação segura. É sério, o email não foi projetado para ser seguro. Utilize um mensageiro como o Ring ou o Signal.
Começa também o jogo de acusações na internet, onde os criadores e defensores do padrão OpenPGP culpam os clientes de email, e os desenvolvedores destes clientes rebatem a culpa para o padrão.
Fonte: EFAIL.DE