• Imprimeix

EFAIL, els atacs que desxifren el correu

16/05/2018 09:05
PGP

Diverses vulnerabilitats podrien permetre accedir sense autorització a dades potencialment sensibles, a base de recuperar el text en clar de missatges xifrats sense disposar de la clau necessària. El errors s'han detectat a l'OpenPGP i S/MIME, estàndards que s'utilitzen conjuntament per donar una capa addicional de protecció als correus electrònics, de manera que només els destinataris legítims puguin revertir el procés i accedir a la informació original.

Per tal d’explotar les vulnerabilitats, un atacant ha de disposar dels correus xifrats, que pot haver obtingut a l’interceptar les comunicacions entre dos interlocutors legítims o després de comprometre un compte de correu, servidor o sistema de còpies de seguretat; i ser capaç d'elaborar un missatge de correu especialment dissenyat per ser enviat al destinatari original de les dades, que forci el client d’e-mail de la víctima a desxifrar les dades i enviar-les de tornada a l’atacant. (Les característiques d’aquests missatges les podreu trobar detallades dins del butlletí de seguretat de l’entitat).

Tot i que el requisits rebaixen la gravetat de la vulnerabilitat, s’ha de tenir en compte la probabilitat que els atacants amb més capacitat (com agències amb suport governamental) sí que disposin dels mecanismes necessaris per dur a terme l’explotació d’EFAIL. En qualsevol cas, els experts de seguretat recomanen desactivar la visualització de correus com HTML i, a mig terme, l’aplicació dels pegats disponibles pels diferents clients de correu, tan aviat com siguin publicats.