Pesquisadores de segurança europeus descobriram novas vulnerabilidades em protocolos de criptografia de e-mail. O ataque de hackers realizado pelos pesquisadores permite incorporar códigos maliciosos em e-mails interceptados e contornar o protocolo de criptografia. O código malicioso permite que hackers roubem todas as informações das mensagens que estão na pasta "Caixa de entrada".
A vulnerabilidade afeta dois dos protocolos de criptografia de e-mail mais comuns, PGP e S/MIME. A tendência da vulnerabilidade de ir direto depende do grau de implementação da proteção com a ajuda de protocolos. Muitas caixas de correio estão agora vulneráveis, incluindo Apple Mail, o aplicativo Mail para iOS e Mozilla Thunderbird. Notavelmente, muitos sistemas de autenticação de mensagens podem efetivamente bloquear o ataque.
Leia também: O emulador do Chrome OS agora está disponível em Android Studio
Se um email criptografado for interceptado em trânsito, um invasor poderá explorar uma vulnerabilidade de email e adicionar código HTML malicioso ao email. Quando a vítima abre o e-mail, o código malicioso pode ser usado para enviar o texto de volta.
Leia também: Rumores sobre um novo Huawei Assista 2 (2018)
Muitos servidores corporativos agora usam criptografia S/MIME, portanto, a vulnerabilidade representa um grande risco para os provedores de serviços @mail.
Em termos práticos, porém, a lição é esta: não existe 'vulnerabilidade teórica'. Existem vulnerabilidades exploráveis e vulnerabilidades que ainda não foram exploradas. Precisamos construir sistemas como reconhecemos isso. 16/16
- Matthew Green (@matthew_d_green) 14 de maio de 2018
Sebastian Schinzel, professor da Universidade de Ciências Aplicadas de Münster, descreveu o problema no Twitter e alertou que "atualmente não há como corrigir essa vulnerabilidade". O professor recomenda que os provedores de serviços desativem a criptografia de dados usando PGP, S/MIME e usem outros. A Electronic Frontier Foundation chama o método do professor de "medida temporária e conservadora" até que os pesquisadores possam encontrar uma maneira de corrigir a vulnerabilidade.
fonte: theverge.com