As falhas de renderização HTML descobertas no Apple Mail para iOS e macOS foram detalhadas esta manhã, permitindo que invasores inescrupulosos derivem texto sem criptografia descriptografado de seus emails criptografados.
O professor de segurança informática Sebastian Schinzel publicou ontem um trabalho de pesquisa sobre essa vulnerabilidade chamada EFAIL.
Sobre o que é essa vulnerabilidade?
Em poucas palavras, essa vulnerabilidade permite que um invasor revele o texto sem formatação dos emails criptografados de alguém sem precisar das chaves de criptografia privadas do remetente, incluindo emails criptografados enviados no passado. Para que o ataque funcione, uma parte nefasta deve estar na posse de seus e-mails S / MIME ou PGP criptografados.
Isso envolve o uso de uma tag de imagem especialmente criada junto com uma sequência de texto criptografado. A combinação faz com que o Apple Mail para iOS e macOS descriptografem o conteúdo das mensagens criptografadas. A abertura de um email criptografado solicita que o cliente carregue a imagem especificada de um domínio controlado por um invasor, o que permite obter cópias de mensagens descriptografadas.
Esse problema também afeta os usuários do cliente de email Thunderbird da Mozilla.
Quão sério é isso?
Benjamin Mayo discute possíveis ramificações dessa falha:
O ataque depende do contato com a mesma pessoa que enviou o email criptografado. Não é possível enviar e-mail a alguém do nada e fazer com que um servidor receba um fluxo de conteúdo descriptografado. O potencial para comunicações comprometidas aumenta se o email fizer parte de uma conversa em grupo, pois o invasor precisa apenas atingir uma pessoa na cadeia para realizar a descriptografia.
Além do problema de renderização de HTML, os pesquisadores também publicaram uma exploração mais técnica da própria especificação padrão S / MIME, que afeta vinte e poucos clientes além dos da Apple. A longo prazo, a correção abrangente dessa vulnerabilidade específica exigirá uma atualização dos padrões de criptografia de email subjacentes.
A Electronic Frontier Foundation pesou, dizendo:
A EFF está em comunicação com a equipe de pesquisa e pode confirmar que essas vulnerabilidades representam um risco imediato para aqueles que usam essas ferramentas para comunicação por email, incluindo a potencial exposição do conteúdo de mensagens anteriores.
Esse bug afeta apenas pessoas que usam o software de criptografia de e-mail PGP / GPG e S / MIME que torna as mensagens ilegíveis sem uma chave de criptografia. Os usuários corporativos costumam confiar na criptografia para evitar escutar as comunicações por email.
A maioria dos emails é enviada sem criptografia, no entanto.
Como você pode se proteger
Uma correção temporária: remova o plug-in de criptografia GPGTools / GPGMail do Apple's Mail no macOS (lixeira GPGMail.mailbundle a partir de / Biblioteca / Correio / Pacotes ou ~ / Biblioteca / Correio / Pacotes).
Como medida mais extrema, desative a busca de conteúdo emote: alterne "Carregar conteúdo remoto nas mensagens" no Mail para preferências do macOS e Carregar imagens remotas no Mail para iOS.
É provável que a Apple emita uma correção de emergência para essa falha grave, portanto, fique atento e observe esse espaço, pois prometemos mantê-lo informado.
Enquanto isso, informe-nos o que você pensa sobre essa vulnerabilidade recém-descoberta no Apple Mail e em outros clientes de e-mail, deixando um comentário abaixo.