Un bug in mail, in particolare Mail di Apple e Thunderbird, denominato Efail può aprire a sguardi indiscreti il contenuto dei messaggi di posta cifrati. La scoperta del buco che colpisce i messaggi formattati in HTML, è stata fatta da alcuni ricercatori e resa nota oggi.
Un gruppo di ricercatori europei ha reso noto di avere individuato una serie di vulnerabilità che riguardano gli utenti di PGP (una famiglia di software di crittografia per autenticazione e privacy) e S/MIME (uno standard per la crittografia a chiave pubblica e la firma digitale di messaggi).
L”Electronic Frontier Foundation (EFF) è in contatto con i ricercatori che hanno scoperto le vulnerabilità e conferma i possibili rischi per chi usa questi strumenti nelle mail, inclusa la potenziale esposizione dei contenuti in messaggi inviati in precedenza.
I dettagli completi saranno resi disponibili a breve ma per ridurre i possibili rischi a breve termine il consiglio è di disattivare subito o disinstallare eventuali plug-in che si occupano di cifrare/decifrare le mail PGP. Fino a quando non verrà individuata una soluzione, agli utenti è consigliato l’uso di meccanismi di comunicazione end-to-end sicuri quali Signal e per il momento non inviare e soprattutto leggere mail cifrate con PGP.
La tipologia del bug e i metodi di attacco sono relativamente complessi e possono essere appresi direttamente dal sito del gruppo che ha portato alla luce la falla. In sintesi a chi ci legge interesserà sapere che solo coloro che usano un plug in PGP/GPG per la cifratura corrono rischi, non chi manda messaggi tradizionali (o almeno non ne corre più di quelli che corre ogni giorno in fatto di privacy…) Questi messaggi cifrati richiedono una chiave per essere sbloccati; a causa del bug questa chiave può essere acquista fraudolentemente. Ovviamente non basta avere conoscenza del meccanismo del bug, ma è anche necessario avere ricevuto o essere in possesso della mail cifrata. In più è richiesto che la persona che ha mandato la mail cifrata, sia ricontattabile perché dal fatto che possa ricevere un messaggio dall’hacker dipende lo svelamento della chiave.
Se siete tra coloro che possono essere colpiti da Efail, la prima cosa da fare è disabilitare il caricamento di una immagine remota (proprio dal caricamento di una immagine dipende l’accesso al codice). In Mail si opera da Preferenze –> Vista –> Disabilita caricamento contenuto remoto. In Mail per iOS dovete andare in Impostazioni –> Mail e disattivare l’interruttore “Carica Immagini”
In ogni caso è probabile che Apple sia già al lavoro per riparare a questo bug, scoperto dal gruppo guidato dal professor Sebastan Schinzel. Benché siamo di fronte ad un problema limitato in fatto di numeri nella sua rilevanza e piuttosto complicato da sfruttare, resta abbastanza preoccupante per chi ha necessità di avere la massima riservatezza per le sue comunicazioni.
