Un equipo de nueve investigadores europeos acaba de descubrir vulnerabilidades críticas en el cifrado PGP y S/MIME. Atacantes pueden leer los correos electrónicos que hasta hace poco gozaban de gran seguridad.
Si bien los correos electrónicos están protegidos por el protocolo criptográfico TLS, PGP y S/MIME. EFF ofrece un cifrado de extremo a extremo para comunicaciones sensibles o altamente confidenciales.
Los investigadores anunciaron un tipo de ataque llamado EFAIL, que explota vulnerabilidad en los estándares OpenPGP y S/MIME para revelar el texto de correos electrónicos cifrados. Según consignaron los expertos, el alcance es serio:
Hay dos sabores del ataques EFAIL. En primer lugar, el ataque de exfiltración directa aprovecha las vulnerabilidades en Apple Mail, iOS Mail y Mozilla Thunderbird; funcionan para PGP así como para correos electrónicos S/MIME. En tanto, CBC/CFB Gadget Attack abusa de las vulnerabilidades en la especificación de OpenPGP y S / MIME para filtrar el texto sin formato.
We'll publish critical vulnerabilities in PGP/GPG and S/MIME email encryption on 2018-05-15 07:00 UTC. They might reveal the plaintext of encrypted emails, including encrypted emails sent in the past. #efail 1/4
— Sebastian Schinzel (@seecurity) May 14, 2018
El anuncio ya ha tenido repercusiones y recientemente la cuenta oficial de la GNU Privacy Guard mencionó que “la vulnerabilidad está en los clientes de correo y no en los protocolos. De hecho, OpenPGP es inmune si se usa correctamente mientras que S / MIME no tiene mitigación desplegada»:
They figured out mail clients which don't properly check for decryption errors and also follow links in HTML mails. So the vulnerability is in the mail clients and not in the protocols. In fact OpenPGP is immune if used correctly while S/MIME has no deployed mitigation.
— GNU Privacy Guard (@gnupg) May 14, 2018
Los investigadores dijeron que este martes por la mañana emitirán un informe detallado sobre la forma de explotar las vulnerabilidad y que de momento recomiendan inhabilitar plugins de PGP e inclinarse por otros canales seguros que usen cifrado de extremo a extremo.