Gravi vulnerabilità nei protocolli PGP e S/MIME

Un team di ricercatori europei ha scoperto gravi vulnerabilità in due noti protocolli utilizzati per l’invio di email cifrate. EFAIL è il nome attribuito all’exploit che permette di leggere il testo in chiaro a causa dei bug presenti negli standard OpenPGP e S/MIME. Gli esperti di sicurezza hanno suggerito soluzioni temporanee in attesa delle patch per i client o delle modifiche alle specifiche dei protocolli.

La maggioranza degli utenti invia email senza crittografia. La trasmissione è parzialmente protetta dallo standard TLS, ma i messaggi vengono conservati in chiaro sui server e nei client. Alcuni utenti, in particolare giornalisti, attivisti politici e informatori, usano OpenPGP per evitare di essere intercettati. S/MIME viene usato invece per garantire la sicurezza in ambito aziendale. L’exploit EFAIL sfrutta il contenuto attivo delle email HTML, ad esempio immagini e stili, per accedere al testo in chiaro attraverso le URL richieste.

Il malintenzionato deve però intercettare le email cifrate, ad esempio spiando il traffico di rete o compromettendo client, server o computer. Dopo aver apportato alcune modifiche, l’email viene inviata all’utente. Il client decifra il messaggio, carica il contenuto esterno e il testo in chiaro viene inviato al cybercriminale. Le vulnerabilità sono presenti in client email molto noti, tra cui Outlook, Thunderbolt e Apple Mail. Le software house possono rilasciare fix che mitigano il problema, ma per la soluzione definitiva è necessaria la modifica degli standard OpenPGP e S/MIME.

In attesa degli aggiornamenti è possibile disattivare o disinstallare i tool che decifrano automaticamente le email in arrivo. I ricercatori suggeriscono di usare un’applicazione separata per decifrare il testo. È consigliabile anche disattivare il rendering HTML.