Chiunque utilizzi il servizio di crittografia PGP e S/MIME potrebbe essere a rischio a causa di una serie di vulnerabilità a cui ancora non è stata trovata soluzione. Secondo i ricercatori il bug, nominato “eFail”, potrebbe comportare la sospensione dei plug-in di sicurezza e, in alcuni casi, la loro cancellazione.
I protagonisti
L’allarme è stato lanciato da Sebastian Schinzel, capo del laboratorio di sicurezza IT dell’Università di Scienze Applicate di Münster. È stato dimostrato come, sfruttando una vulnerabilità del sistema, fosse possibile decriptare i messaggi, compresi quelli già letti in passato.
La verifica è stata fatta anche dalla Electronic Frontier Foundation (EFF), che ha potuto confermare quanto annunciato da Schinzel. Non essendoci al momento delle soluzioni al problema, è necessario affidarsi a servizi alternativi, come Signal, e disabilitare i plugin di PGP e S/MIME. La EFF ha inoltre diffuso delle guide per rimuovere i plug-in in questione dalle piattaforme Outlook, Thunderbird e Apple Mail.
Secondo Werner Coch, capo della GNUPrivacyGuard (GNUPG) – ovvero la suite open source di PGP – la vulnerabilità è presente nei client e non in PGP.
Un piccolo trucco
Per poter funzionare, è necessario che chi compie l’attacco sia in grado di intercettare l’e-mail e modificarne il testo. Nello specifico, eFail compromette il contenuto HTML della e-mail, come ad esempio immagini esterne, per esfiltrare il testo attraverso una specifica URL. L’hacker modifica poi l’e-mail criptata e la rispedisce al destinatario. Una volta aperta, la vittima decripta l’e-mail e scarica il contenuto esterno, permettendo all’hacker di visualizzarla.
Una vecchia conoscenza
Un portavoce di ProtonMail, un servizio di webmail che usa PGP, afferma che il problema è noto dal lontano 2001, confermando che il bug risiede nel client e non nel protocollo.
“PGP è il più importante servizio di crittografia al mondo ed è deludente vedere come venga screditato da altre organizzazioni. Invitare gli utenti a non usare più PGP non è un consiglio sicuro.”
Apple si mobilita
Un portavoce di Apple ha comunicato che una parziale patch era già stata rilasciata con iOS 11.3, il 29 marzo 2018. La restante parte per i dispositivi Apple infetti è in fase di sviluppo e verrà rilasciata a breve.
Non si hanno invece notizie di Microsoft, che per il momento non ha rilasciato commenti.
Per rimanere informati sul mondo nerd, continuate a seguirci sul nostro sito DrCommodore.it e su Facebook, Instagram, Telegram, YouTube, Discord e Twitch.
