Topo

Padrões populares de critografia de e-mails não são seguros, dizem pesquisadores

15/05/2018 15h45

Por Douglas Busvine

FRANKFURT (Reuters) - Pesquisadores europeus descobriram que os populares padrões de criptografia de e-mail PGP e S/MIME são vulneráveis ​​a hackers e instaram usuários a destivá-los ou desinstalá-los de imediato.

Pesquisadores das universidades de Muenster e Bochum, na Alemanha, e Leuven, na Bélgica, descobriram as falhas nos métodos de criptografia que podem ser usados ​​com aplicativos de e-mail populares, como o Microsoft Outlook e o Apple Mail.

"Atualmente não há conserto confiável ​​para a vulnerabilidade", disse o pesquisador-chefe Sebastian Schinzel, professor de criptografia aplicada na Universidade Muenster de Ciências Aplicadas, na segunda-feira.

"Se você usa PGP/GPG ou S/MIME para comunicação muito sensível, deve desativá-lo em seu cliente de e-mail por ora."

A notícia causou alvoroço na comunidade de usuários de e-mail criptografados que inclui ativistas, delatores e jornalistas que trabalham em ambientes hostis.

Os pesquisadores afirmaram ter encontrado duas formas pelas quais hackers poderiam coagir efetivamente um cliente de e-mail a enviar o texto completo das mensagens para o invasor.

Não há sugestão imediata de que agências de espionagem ou hackers patrocinados por governo já tenham usado a técnica para investigar os e-mails das pessoas.

Os pesquisadores informaram os provedores de e-mail sobre suas conclusòes.

Num primeiro momento, os hackers podem "desfiltrar" os e-mails em texto simples explorando uma fraqueza inerente à Linguagem de Marcação de Hipertexto (HTML), usada no design da Web e na formatação de e-mails.

O Apple Mail, o iOS Mail e o Mozilla Thunderbird são todos vulneráveis à conversão direta, disseram eles.

Um segundo ataque tira proveito de falhas no OpenPGP e S/MIME para injetar texto mal-intencionado que, por sua vez, torna possível roubar o texto simples de e-mails criptografados.

As vulnerabilidades nos padrões PGP e S/MIME representam um risco imediato para comunicação por e-mail, incluindo a possível exposição do conteúdo de mensagens passadas, disse a Electronic Frontier Foundation (EFF), grupo de direitos digitais dos EUA.