Uma Grande Vulnerabilidade na Criptografia de E-Mails OpenPGP/GPG e S/MIME Colocam Dados Privados em Risco

Uma equipe de pesquisadores de cibersegurança de Universidades na Alemanha e na Bélgica informou sobre uma vulnerabilidade descoberta recentemente no software de criptografia de e-mail OpenPGP/GPG e S/MIME. A falha afeta a grande maioria dos usuários de e-mail, pois os expõe os plug-ins de e-mail dos clientes mais populares aos ataques cibernéticos, incluindo o Apple Mail com o GPGTTools, o Thunderbird com o Enigmail e o Outlook com o Gpg4win. Em meados do mês passado, essa equipe de pesquisadores publicou uma análise detalhada do erro, segundo a qual a vulnerabilidade e as exploraçōes em potencial baseadas nele foram denominados EFAIL.

Um post no Twitter também apareceu, no qual o professor de segurança informática Sebastian Schinzel da Muenster University of Applied Sciences alertou sobre os perigos em potencial resultantes dessa vulnerabilidade, apelando a todos os usuários que usam os métodos de criptografia afetados para desativá-los imediatamente e mudar para soluções alternativas. Outro sistema mais confiável de criptografia de dados poderia ser as plataformas de mensagens como o Signal, por exemplo.

De acordo com o whitepaper acadêmico que descreve o erro, os ataques baseados nas explorações do EFAIL usam vulnerabilidades nos padrões PGP e S/MIME. Em suma, os ataques do EFAIL revelam o texto sem formatação de e-mails criptografados por meio dos URLs solicitados, abusando do conteúdo ativo de e-mails HTML, como imagens ou estilos carregados externamente. Para conduzir os ataques, os hackers criam canais de exfiltração, obtendo acesso aos dados criptografados direcionados. Os ataques podem ser feitos comprometendo servidores de e-mail, sistemas de backup, computadores de clientes ou contas de e-mail, bem como interceptando o tráfego de rede. Os invasores em potencial podem explorar o PGP and S/MIME vulnerabilities para obter acesso não apenas ao texto sem formatação de e-mails criptografados, mas também a algum conteúdo enviado no passado.

Os pesquisadores avisam que pode levar algum tempo até que os padrões de criptografia de e-mail afetados sejam atualizados. Por enquanto, para proteger os usuários, a Electronic Frontier Foundation informa que as ferramentas para descriptografia automática de e-mails criptografados por meio do padrão PGP devem ser desativadas e desinstalados imediatamente. Essa é apenas uma medida temporária para evitar que possíveis ataques do EFAIL sejam executados e os usuários possam recuperar a configuração antiga assim que as correçōes para as vulnerabilidades conhecidas forem liberadas.