Dr Commodore
LIVE

Bug critico affonda la crittografia di PGP e S/MIME

Chiunque utilizzi il servizio di crittografia PGP e S/MIME potrebbe essere a rischio a causa di una serie di vulnerabilità a cui ancora non è stata trovata soluzione. Secondo i ricercatori il bug, nominato “eFail”, potrebbe comportare la sospensione dei plug-in di sicurezza e, in alcuni casi, la loro cancellazione.

I protagonisti

L’allarme è stato lanciato da Sebastian Schinzel, capo del laboratorio di sicurezza IT dell’Università di Scienze Applicate di Münster. È stato dimostrato come, sfruttando una vulnerabilità del sistema, fosse possibile decriptare i messaggi, compresi quelli già letti in passato.

Cattura 1

La verifica è stata fatta anche dalla Electronic Frontier Foundation (EFF), che ha potuto confermare quanto annunciato da Schinzel. Non essendoci al momento delle soluzioni al problema, è necessario affidarsi a servizi alternativi, come Signal, e disabilitare i plugin di PGP e S/MIME. La EFF ha inoltre diffuso delle guide per rimuovere i plug-in in questione dalle piattaforme Outlook, Thunderbird e Apple Mail.

Secondo Werner Coch, capo della GNUPrivacyGuard (GNUPG) – ovvero la suite open source di PGP – la vulnerabilità è presente nei client e non in PGP.

Cattura2

Un piccolo trucco

Per poter funzionare, è necessario che chi compie l’attacco sia in grado di intercettare l’e-mail e modificarne il testo. Nello specifico, eFail compromette il contenuto HTML della e-mail, come ad esempio immagini esterne, per esfiltrare il testo attraverso una specifica URL. L’hacker modifica poi l’e-mail criptata e la rispedisce al destinatario. Una volta aperta, la vittima decripta l’e-mail e scarica il contenuto esterno, permettendo all’hacker di visualizzarla.

Una vecchia conoscenza

Un portavoce di ProtonMail, un servizio di webmail che usa PGP, afferma che il problema è noto dal lontano 2001, confermando che il bug risiede nel client e non nel protocollo.

“PGP è il più importante servizio di crittografia al mondo ed è deludente vedere come venga screditato da altre organizzazioni. Invitare gli utenti a non usare più PGP non è un consiglio sicuro.”

Apple si mobilita

Un portavoce di Apple ha comunicato che una parziale patch era già stata rilasciata con iOS 11.3, il 29 marzo 2018. La restante parte per i dispositivi Apple infetti è in fase di sviluppo e verrà rilasciata a breve.

Non si hanno invece notizie di Microsoft, che per il momento non ha rilasciato commenti.

Per rimanere informati sul mondo nerd, continuate a seguirci sul nostro sito DrCommodore.it e su Facebook, Instagram, Telegram, YouTube, Discord e Twitch.

Articoli correlati

Dr Commodore

Dr Commodore

Sono Dr Commodore, servono altre presentazioni?

Condividi