Um grupo de especialistas em segurança encontrou uma série de vulnerabilidades em dois padrões de criptografia bastante populares, que expõem o conteúdo das mensagens enviadas pelos utilizadores.
Uma das formas existentes de evitar que alguém, além do destinatário, leia os seus emails com informações confidenciais é encriptando-os via PGP ou S/MIME. No entanto, um grupo de especialistas em segurança acaba de descobrir uma série de vulnerabilidades que expõem o conteúdo das mensagens enviadas pelos utilizadores.
De acordo com os especialistas, os problemas – apelidados de EFAIL – expõem os emails encriptados em texto aberto, deixando os utilizadores completamente expostos. Esta situação também se verifica em mensagens antigas, tornando assim o problema mais grave do que se julgava inicialmente.
“O email já não é um meio de comunicação seguro”, disse Sebastian Schinzel, professor da Universidade de Ciências Aplicadas de Münster, na Alemanha, ao canal de notícias alemão Süddeutschen Zeitun.
A vulnerabilidade foi relatada pela primeira vez pela Electronic Frontier Foundation (EFF) nas primeiras horas desta segunda-feira, e os detalhes foram divulgados pouco antes das 6h da manhã. O grupo de especialistas europeus está a alertar as pessoas para que os utilizadores deixem de usar o PGP imediatamente.
Schinzel, co-autor do estudo, avisa que, a longo prazo, devem ser lançados pacotes de atualização para os softwares, de modo a mitigar o problema de forma ampla. No entanto, é preciso ter em conta que levará uma quantidade considerável de tempo até que o processo esteja concluído.
O PGP (Pretty Good Privacy) é um programa de criptografia considerado o “padrão de ouro” na segurança de email. O email encriptado tornou-se mais popular depois de Edward Snowden ter revelado os segredos da vigilância eletrónica do Governo dos EUA. Contudo, o email encriptado não é perfeito, tal como nenhum sistema de segurança jamais será.
Tanto o PGP como o S/MIME existem há vários anos. Ambos têm como base o esquema de chaves públicas e privadas. A principal diferença entre eles está no modelo de gestão de chaves: no PGP, estas podem ser controladas por utilizadores ou entidades específicas, já no S/MIME, as chaves requerem aval de uma autoridade certificadora, razão pela qual o método é mais utilizado em ambientes corporativos.
A comunidade de privacidade sustenta que esta vulnerabilidade está a ser descrita de uma forma bastante exagerada. Werner Koch, autor principal do GNU Privacy Guard, escreve que as duas únicas maneiras de mitigar este ataque são não usar emails em HTML e usar criptografia autenticada.
“Se usado corretamente” parece ser a frase mágica para muitas empresas de segurança nos dias de hoje. No entanto, há quem seja mais cauteloso e tenha percebido o quão disparatado pode ser esse argumento.
A EFF tem guias sobre como desabilitar o PGP no Apple Mail, no Outlook e no Thunderbird. Embora afirme que não existem alternativas confiáveis, recomenda que os utilizadores optem por fazer a descriptografia de uma mensagem recebida, copiando o conteúdo e usando um serviço alternativo, fora do cliente de email, como chamadas telefónicas.
ZAP // Gizmodo
