Esta falha de segurança, denominada EFAIL , não diz respeito aos próprios protocolos como foi inicialmente apresentado, mas sim a certos plugins e ferramentas que os exploram , o que torna a situação um pouco menos crítica .
Uma falha que não é facilmente explorável
Primeiro, a falha EFAIL só pode ser explorada em mensagens de usuários que usam S / MIME ou PGP para criptografar suas comunicações.S / MIME é um padrão usado principalmente em negócios . No macOS e no iOS em particular, o software da Apple exibe um cadeado ao lado do remetente ao enviar um e-mail por esse método. No entanto, parece que a Apple corrigiu esta falha desde a versão 10.13.4 do High Sierra, tendo sido informada muito antes do homem comum desta vulnerabilidade. O Gmail também pode ser afetado porque o cliente da web oferece uma opção para criptografar mensagens usando S / MIME.
Para PGP, isso geralmente requer a instalação de um add-on, embora alguns clientes o incluam por padrão. Por exemplo, o Thunderbird, o cliente de e-mail da Mozilla Foundation, é afetado por essa falha.
Se você estiver usando um plugin ou uma ferramenta PGP ou S / MIME, fique tranquilo, você não está necessariamente exposto . Dos 35 clientes e serviços habilitados para S / MIME testados, 25 foram afetados; da mesma forma, de 28 clientes PGP testados, apenas 10 foram comprometidos.
Ainda mais tranquilizador, a vulnerabilidade permite que as mensagens sejam descriptografadas sem o seu conhecimento, mas isso requer o acesso às mensagens , o que limita claramente o escopo da violação de segurança.
Isso pode ser feito recuperando as mensagens do computador do usuário, extraindo-as do servidor da empresa que armazena os e-mails ou capturando-os por meio de uma rede desprotegida, mas isso requer conhecimento adicional do invasor. e tempo.
Uma falha de uma década
Não estamos falando de ossos aqui, mas sempre da falha. Parece que esta descoberta muito recente diz respeito a uma vulnerabilidade que está presente há cerca de dez anos . Para dizer a verdade, a falha relativa ao PGP é conhecida e documentada desde 1999, mesmo que, é claro, os patches tenham sido implementados no início dos anos 2000.Para a consternação dos usuários, não há como ter certeza. que não foi usado para descriptografar seus e-mails.
Por trás do EFAIL , existem várias falhas a serem enumeradas, que dizem respeito às tecnologias de criptografia, clientes e serviços. Em uma base caso a caso, os dados que os hackers podem recuperar em claro variam.
Você pode encontrar o documento completo publicado pela equipe de pesquisa por trás da descoberta no site oficial da EFAIL.
Como funciona a falha EFAIL
Tecnicamente, como essa vulnerabilidade funciona? É o HTML, usado para formatar um e-mail, que está no cerne do problema. A técnica de hacking requer algumas etapas.Em primeiro lugar, o invasor deve, portanto, recuperar uma cópia de um e-mail criptografado entre o destinatário e o remetente. Uma vez em mãos, ele cria uma versão modificada do e-mail, cujo conteúdo criptografado é incluído em uma tag HTML, adicionando um link para um nome de domínio controlado pelo invasor. Por fim, ele envia esse e-mail bloqueado de volta ao destino. Ao abri-lo, o cliente de e-mail irá descriptografar a mensagem para que o usuário possa visualizá-la e uma cópia nítida será enviada para o nome de domínio contido na tag HTML, permitindo assim que oatacante para recuperá-lo.
A partir daí, ele terá acesso a todas as informações do e - mail - por meio dos dados ocultos no e-mail - e pode ir muito mais longe, hackeando dados do usuário.
O que fazer para se proteger disso?
Agora só há uma coisa a fazer: pare de usar seu cliente de e-mail para descriptografar mensagens . Esta é a melhor solução de curto prazo para se livrar drasticamente do problema, já que a falha de segurança do EFAIL explora o cliente de e-mail. Desative a criptografia, remova os certificados associados, se aplicável, e desinstale quaisquer módulos que possa ter instalado.Caso contrário, você apenas tem que esperar pacientemente que os desenvolvedores de software lançem um patch, agora que a equipe por trás da vulnerabilidade tornou sua descoberta pública.
