Uma equipe de pesquisadores de segurança descobriu uma séria falha em vários dos principais clientes de e-mail que você precisa conhecer.

A falha permite que hackers falsifiquem assinaturas verificadas, o que dá a seus ataques de phishing e outros ataques baseados em e-mail a aparência de legitimidade. Segundo pesquisas realizadas pela equipe, os seguintes clientes de e-mail são vulneráveis ​​a essa exploração:

  • Thunderbird
  • Apple Mail with GPGTools
  • iOS Mail
  • Microsoft Outlook
  • Mailpile
  • Roundcube
  • K-9 Mail
  • Airmail
  • MailMate
  • Evolution
  • KMail
  • GpgOL
  • What The Risks Are

Ostensivamente, uma assinatura de e-mail deve fornecer autenticidade, legitimidade e integridade de ponta a ponta. Quando você recebe um e-mail contendo uma assinatura verificada é um sinal de que é de uma fonte segura e confiável. Infelizmente, agora que vários dos maiores e mais usados ​​clientes de e-mail foram considerados vulneráveis ​​a ataques de falsificação de assinaturas, isso está fora da janela. Se você tem o hábito de procurar por uma assinatura verificada e depois de encontrar uma, assumir que o e-mail é seguro, simplesmente não é mais seguro fazer isso.

A equipe de pesquisa descreveu sua pesquisa em parte, dizendo o seguinte: "Em nosso cenário, assumimos dois parceiros de comunicação confiáveis, Alice e Bob, que trocaram suas chaves PGP públicas ou certificados S / MIME. O objetivo do atacante Eve é criar e enviar um e-mail com conteúdo arbitrário para Bob, cujo cliente de e-mail indica falsamente que o e-mail foi assinado digitalmente por Alice. Nosso modelo de ataque não inclui nenhuma forma de engenharia social. O usuário abre e lê e-mails recebidos como sempre, então o treinamento de conscientização não ajuda a mitigar os ataques".

Essa é uma notícia sombria, e, pior ainda, uma série de CVEs foi aberta para explicar e corrigir as vulnerabilidades que tornam possível esse tipo de falsificação de assinaturas. No entanto, não há correções fáceis aqui, e neste momento não há nenhum cronograma de nenhum desses provedores de e-mail falando quando ou se os problemas serão resolvidos.

Used with permission from Article Aggregator