
Una nueva falla descubierta en los clientes de correo electrónico que utilizan PGP y S/MIME para cifrar mensajes puede explotarse para exponer el texto sin formato de los mensajes, según un artículo publicado el lunes.
Al inyectar fragmentos de texto maliciosos en los mensajes cifrados, los atacantes podrían aprovechar la falla para hacer que los clientes de correo electrónico filtraran copias descifradas de los correos electrónicos, explicaron los autores, un equipo de investigadores de tres universidades europeas.
La acción maliciosa se activa una vez que un destinatario abre un correo electrónico cuidadosamente elaborado por un atacante, escribieron. El equipo estaba formado por investigadores de las Universidades de Ciencias Aplicadas de Münster y Ruhr-University Bochum en Alemania y la Universidad de Lovaina en los Países Bajos.
Se encontraron fallas de software en 23 de 35 clientes S/MIME y 10 de 28 clientes PGP probados.
«Si bien los cambios en los estándares OpenPGP y S/MIME fueron necesarios para solucionar estas vulnerabilidades, algunos clientes tienen fallas de implementación más graves que permiten la divulgación directa de texto sin formato», escribieron los investigadores.
Los clientes ignoran las malas noticias
Si bien el problema es grave, tiene más que ver con los malos clientes en el host que con OpenPGP, examen examen El estratega jefe de seguridad Stephen Moore le dijo a TechNewsWorld.
El autor de PGP y profesor asociado Phil Zimmermann señaló que algunos clientes de correo electrónico no utilizan las capacidades nativas del protocolo de encriptación para evitar el tipo de ataque que describen los investigadores. Universidad Tecnológica de Delft En los Paises Bajos.
«Hay algunos controles en PGP. Si el cliente de correo electrónico reacciona al mensaje entregado por PGP de que algo ha sido manipulado, entonces todo estará bien», dijo a TechNewsWorld. «Pero si el cliente ignora esa información, entonces tienes esta vulnerabilidad».
Arreglar la falla en los clientes de correo electrónico que usan PGP no es una tarea difícil, agregó Zimmermann.
«He visto a personas parchearlo muy rápidamente en unas pocas horas», dijo.
Se ha realizado un parche para corregir la falla para el cliente de correo electrónico Thunderbird, pero no para Apple Mail, dijo Nate Cardozo, abogado senior. Fundación Frontera Electrónica.
«El parche no soluciona la vulnerabilidad, simplemente la hace inexplotable para los clientes», dijo a TechNewsWorld.
«Los correos electrónicos enviados por los clientes aún pueden ser explotados», señaló Cardozo. «Corrige el extremo receptor del error, pero no corrige el error subyacente que aún existe en el protocolo».
Agregó que cuando se solucione este posible problema, es posible que no sea compatible con versiones anteriores.
La información sensible está en riesgo
Debido a que solo un pequeño porcentaje de usuarios de correo electrónico usa clientes PGP o S/MIME, la vulnerabilidad representa una amenaza menor para todos los usuarios de lo que se podría pensar, dijo Alexis Dorais-Joncas, líder del equipo de inteligencia de seguridad. Conjunto fácil.
«Sin embargo, para los usuarios vulnerables y sus corresponsales, esto es extremadamente grave, ya que esta amenaza brinda a los atacantes una forma de acceder a comunicaciones de texto claro que de otro modo serían seguras», dijo a TechNewsWorld.
Cardozo de EFF estima que de los más de 3 mil millones de usuarios de correo electrónico en todo el mundo, sólo decenas de millones utilizan el correo PGP.
«Sin embargo, quienes lo usan son periodistas, administradores de sistemas y personas que ejecutan programas de informes de errores en grandes empresas», dijo, «por lo que los tipos de información que se envían a través de PGP suelen ser los más sensibles».
mensaje pasado al borde de la extinción
A la gravedad del ataque se suma su capacidad para acceder a correos electrónicos anteriores.
“El cliente de correo de la víctima puede usarse como una herramienta para descifrar correos electrónicos antiguos que se han enviado o recibido”, dijo Cardozo. «Esto es serio.»
Para los usuarios preocupados por la seguridad de sus clientes de correo electrónico PGP o S/MIME, Dorais-Joncas de Eset ofrece los siguientes consejos:
- Deje de usar clientes de correo electrónico vulnerables para descifrar correos electrónicos. Utilice una aplicación independiente.
- Deshabilite la representación HTML y el contenido remoto automático en su cliente de correo electrónico. Esto evitaría que el mecanismo de comunicación de canal secundario utilizado por la vulnerabilidad filtre datos de texto sin formato.
- Busque actualizaciones. Se espera que los proveedores lancen parches para corregir algunas de las fallas expuestas por los investigadores.