EFAIL é mais uma daquelas vulnerabilidades que possuem até nome próprio pra ganhar tração na mídia. É um ataque que busca a obtenção dos dados de emails criptografados através da modificação parcial de uma mensagem. O ataque pode ocorrer de duas formas ou variantes:
1. Injetando códigos HTML que remetam a uma URL externa como por exemplo, uma imagem com o fechamento de tag após a mensagem encriptada. Ao receber a mensagem modificada por alguém que está executando o man-in-the-middle, o cliente de emails(Thunderbird, Apple Mail, iOS mails) vulnerável irá abrir a mensagem encriptada com as chaves privadas configuradas e a mensagem em texto plano será remetida a um servidor servidor através da URL.
2. Abusando de uma falha na lógica da cifra em blocos do padrão OpenPGP e do funcionamento do S/MIME multipartes. Basicamente, sabendo alguns trechos do texto desencriptado de um S/MIME(lembre-se o cabeçalho é sempre o previsível “Content-type: multipart/signed”), um atacante pode revezar alguns blocos de mensagem, posicionar mais pra frente um bloco criptografado com zeros, e outro com uma falha similar a do tipo 1 de ataque, fazendo com que o cliente que possui as chaves pré-configuradas consuma código HTML que poderá vazar a informação do email. Esta forma de ataque pode utilizar mensagens criptografadas que já foram entregues mas estão disponíveis na internet em sua forma ainda encriptada, e são retransmitidas para uma vítima que utiliza um cliente vulnerável.
O que você pode fazer para minimizar ou evitar o ataque:
- Desativar a visualização automática de HTML do seu cliente.
- Remover suas chaves privadas do cliente de email.
- Utilizar um dos dois únicos clientes não vulneráveis(Claws e Mutt).
- Copiar o texto referente a mensagem encriptada e revelar com um software externo, sem confiar nas capacidades do seu cliente de email.
- Parar de usar emails como método de comunicação segura. É sério, o email não foi projetado para ser seguro. Utilize um mensageiro como o Ring ou o Signal.
Começa também o jogo de acusações na internet, onde os criadores e defensores do padrão OpenPGP culpam os clientes de email, e os desenvolvedores destes clientes rebatem a culpa para o padrão.
Fonte: EFAIL.DE
