Pesquisadores dizem que não há conserto confiável para vulnerabilidades nos métodos de criptografia PGP e S/MIME, usados com aplicativos de e-mail famosos
Frankfurt – Pesquisadores europeus descobriram que os populares padrões de criptografia de e-mail PGP e S/MIME são vulneráveis a hackers e instaram usuários a desativá-los ou desinstalá-los de imediato.
Pesquisadores das universidades de Muenster e Bochum, na Alemanha, e Leuven, na Bélgica, descobriram as falhas nos métodos de criptografia que podem ser usados com aplicativos de e-mail populares, como o Microsoft Outlook e o Apple Mail.
“Atualmente não há conserto confiável para a vulnerabilidade”, disse o pesquisador-chefe Sebastian Schinzel, professor de criptografia aplicada na Universidade Muenster de Ciências Aplicadas, na segunda-feira.
“Se você usa PGP/GPG ou S/MIME para comunicação muito sensível, deve desativá-lo em seu cliente de e-mail por ora.”
A notícia causou alvoroço na comunidade de usuários de e-mail criptografados que inclui ativistas, delatores e jornalistas que trabalham em ambientes hostis.
Os pesquisadores afirmaram ter encontrado duas formas pelas quais hackers poderiam coagir efetivamente um cliente de e-mail a enviar o texto completo das mensagens para o invasor.
Não há sugestão imediata de que agências de espionagem ou hackers patrocinados por governo já tenham usado a técnica para investigar os e-mails das pessoas.
Os pesquisadores informaram os provedores de e-mail sobre suas conclusòes.
Num primeiro momento, os hackers podem “desfiltrar” os e-mails em texto simples explorando uma fraqueza inerente à Linguagem de Marcação de Hipertexto (HTML), usada no design da Web e na formatação de e-mails.
O Apple Mail, o iOS Mail e o Mozilla Thunderbird são todos vulneráveis à conversão direta, disseram eles.
Um segundo ataque tira proveito de falhas no OpenPGP e S/MIME para injetar texto mal-intencionado que, por sua vez, torna possível roubar o texto simples de e-mails criptografados.
As vulnerabilidades nos padrões PGP e S/MIME representam um risco imediato para comunicação por e-mail, incluindo a possível exposição do conteúdo de mensagens passadas, disse a Electronic Frontier Foundation (EFF), grupo de direitos digitais dos EUA.