Antes de una publicación completa de los detalles el 15 de mayo, los investigadores europeos y el EFF están dando una advertencia temprana de que los mensajes codificados con PGP / GPG y S / MIME son vulnerables a un conjunto de vulnerabilidades graves de seguridad, un problema que afecta a más de 20 clientes de correo electrónico. Como "actualmente no hay soluciones confiables para la vulnerabilidad", los investigadores están aconsejando a los usuarios que desactiven inmediatamente el cifrado dentro de los clientes de correo electrónico individuales, y que usen otros métodos para enviar sus datos seguros por el momento.

Aunque los exploits

Son de naturaleza bastante técnica, se dividen en dos categorías: "Exfiltración directa" y "Ataque de gadget CBC / CFB". La exclusión directa afecta a los clientes MacOS e iOS Mail de Apple, así como a Thunderbird de Mozilla, lo que permite enviar un atacante. un correo electrónico que decodifica y comparte automáticamente el contenido de un mensaje cifrado de una víctima en una respuesta. Los investigadores creen que un parche simple será capaz de abordar este problema, aunque actualmente es bastante fácil de explotar.

En comparación, el Gadget Attack afecta a una variedad mucho más amplia de clientes de correo, incluido Outlook de Microsoft, pero tiene una eficacia en función de si se usa contra el cifrado PGP o S / MIME.

Contra PGP, aparentemente solo funciona una vez cada tres intentos, pero contra S / MIME, un solo correo electrónico puede crackear hasta 500 mensajes a la vez. Si bien los investigadores dicen que cada vendedor de cliente de correo electrónico puede presentar mitigaciones individuales, sugieren que la especificación subyacente para OpenPGP y S / MIME deberá ser reparada a largo plazo.

Por el momento EFF instala

A los usuarios de clientes de correo electrónico a seguir estas guías para desactivar temporalmente el cifrado de PGP y S / MIME, ya que esto evitará que los atacantes usen los exploits para descifrar y obtener acceso a correos electrónicos privados:

Apple Mail con GPGTools

Microsoft Outlook con Gpg4win

Mozilla Thunderbird con Enigmail

Se espera que la información adicional se publique mañana a las 7:00 a.m.

UTC / 3:00 a.m. hora del Este / 12:00 a.m. hora del Pacífico. Es probable que los clientes de correo modernos comiencen a recibir parches individuales para abordar la vulnerabilidad en los próximos días.

¡No te pierdas nuestra pagina de Facebook!!