Sito web di notizie tecnologiche e videogames.

Vulnerabilità nei protocolli di crittografia e-mail

Vulnerabilità nei protocolli di crittografia e-mail
15

Recentemente è stata trovata una vulnerabilità in due noti protocolli di crittografia email. Questa vulnerabilità consente agli hacker di rintracciare le mail che vengono scambiate.

I ricercatori di sicurezza europei hanno trovato una nuova vulnerabilità nei protocolli più comuni di crittografia della posta elettronica. L’attacco, descritto in un rapporto pubblicato lunedì mattina, consente a malintenzionati di inserire un codice dannoso in e-mail intercettate, nonostante i protocolli di crittografia siano progettati per proteggere da situazioni di questo genere. Implementato correttamente, il codice dannoso potrebbe essere utilizzato per rubare l’intero contenuto della posta in arrivo di una persona.

Due protocolli presi di mira

La vulnerabilità interessa due dei più comuni protocolli di crittografia e-mail, PGP e S/MIME, sebbene il grado di vulnerabilità dipenda in larga misura dall’implementazione del protocollo da parte del client.

Diversi client diversi sono vulnerabili, tra cui Apple Mail, l’app Mail su iOS e Thunderbird. In particolare, molti sistemi di autenticazione dei messaggi attualmente disponibili possono effettivamente bloccare l’attacco.

Se un’ e-mail crittografata che utilizza tali client viene intercettata in transito, un utente malintenzionato potrebbe utilizzare la nuova vulnerabilità per modificare l’e-mail, aggiungendo codice HTML dannoso prima di inviarlo al destinatario. Quando il destinatario apre la nuova email, il codice dannoso potrebbe essere utilizzato per inviare il testo in chiaro dell’email.

Molti server aziendali utilizzano ancora la crittografia S/MIME, quindi l’attacco rappresenta un rischio significativo per i sistemi attuali.

Come proteggersi

Il software open source GNU Privacy Guard ha scritto in una dichiarazione: “Ci sono due modi per mitigare questo attacco: non usare email HTML … utilizzare la crittografia autenticata”.

Sebastian Schinzel, professore di sicurezza informatica presso la Münster University of Applied Sciences che ha co-scritto il giornale, avverte su Twitter che “al momento non ci sono correzioni affidabili per la vulnerabilità.” Raccomanda alle persone di disabilitare la crittografia nel proprio client di posta elettronica se si usa PGP per comunicazioni sensibili. La Electronic Frontier Foundation definisce queste misure “un temporaneo e conservativo ostacolo” finché la comunità non risolve i problemi.

Segui The Zine per rimanere sempre aggiornato su tutte le news in campo hi-tech.

via via
Commenti