Grave vulnerabilidade é encontrada no popular programa PGP, deixando mensagens atuais e passadas de usuários expostas
Pesquisadores alemães descobriram uma grande vulnerabilidade em um popular programa de criptografia de e-mail, o chamado PGP (Pretty Good Privacy), que pode revelar e-mails criptografados atuais e até mesmo e-mails passados .
Sebastian Schinzel, professor de ciência da computação na Universidade de Münster, foi quem investigou a falha. Em sua conta pessoal no Twitter, ele explica que a brecha “pode revelar o texto simples de e-mails criptografados”.
Detalhes sobre as vulnerabilidades críticas em criptografia de e-mail PGP/ GPG e S/MIME foram publicadas nessa terça-feira (15).
Desde seu lançamento em 1991, o PGP tem sido considerado o padrão para mensagens criptografadas, mantendo-se como um dos métodos mais populares para enviar e-mails privados.
No entanto, a saída óbvia a eles veio com a adoção de aplicativos de mensagens que defendem criptografia de ponta a ponta, como o Signal ou o Telegram.
A Electronic Frontier Foundation (EFF), um grupo de direitos digitais sediado em São Francisco, analisou as possíveis falhas e confirmou em um blog que “essas vulnerabilidades representam um risco imediato para aqueles que usam essas ferramentas para comunicação por e-mail, incluindo a exposição potencial de o conteúdo de mensagens passadas “.
Detalhes sobre a vulnerabilidade foram divulgados pelo jornal Suddeutsche Zeitung antes de seu embargo programado.
Como se proteger contra a falha do PGP?
O conselho da EFF e da Schinzel espelha um ao outro: desative quaisquer plug-ins usando PGP, pare de enviar e ler e-mails criptografados com PGP e use outros canais usando criptografia de ponta a ponta, como a Signal, por enquanto.
A EFF publicou tutoriais detalhados sobre como desabilitar a criptografia PGP nos principais clientes de email, como o Outlook e o Apple Mail.
Se você usar o Thunderbird com o Enigmail, o Apple Mail com o GPGTools ou o Outlook com o Gpg4win, a EFF explica passo a passo para desativar temporariamente os plug-ins do PGP.
Acredita-se que as vulnerabilidades existam nos próprios fornecedores e-mails, em vez do protocolo de criptografia PGP.
De acordo com o GNU Privacy Guard (GnuPG), o problema vem de programas de e-mail que não conseguem verificar erros de decodificação corretamente e seguem links em e-mails que incluíam código HTML.
Eles descobriram fornecedores de email que não verificam corretamente os erros de descriptografia e também seguem os links em emails em HTML. Portanto, a vulnerabilidade está nesses e não nos protocolos. Na verdade, o OpenPGP é imune se usado corretamente, enquanto o S/ MIME não possui mitigação implementada.
Werner Koch, principal autor do GnuPG, descreveu a questão como “exagerada” pela EFF em um post de hoje. Ele também observou que não foi contatado diretamente sobre o assunto.
No momento, não há nenhuma correção para a falha, portanto, tomar precauções extras e usar um serviço de mensagens seguro alternativo é a melhor maneira temporária de navegar na situação.
