I ricercatori IT hanno rilevato vulnerabilità di sicurezza fondamentali nei due metodi comuni di crittografia della posta elettronica che potrebbero consentire agli aggressori di accedere ai messaggi segreti. Tuttavia, per un attacco riuscito devono essere soddisfatte diverse condizioni.
I malintenzionati hanno accesso ai messaggi di testo
Attraverso questa vulnerabilità, si può agire in due modi diversi. Nel più grave dei due scenari di attacco autorizzati di Apple Mail, ad esempio, il client di posta elettronica del sistema iOS e il programma Mozilla Thunderbird direttamente estraggono il messaggio che era più facile da implementare.
Complessivamente, 25 dei 35 programmi di posta elettronica testati su S/MIME erano vulnerabili agli attacchi e 10 su 28 client di posta elettronica verificati sono stati in grado di essere decodificati. S/MIME viene utilizzato principalmente nell’ambiente aziendale, mentre OpenPGP è utilizzato principalmente da utenti domestici, giornalisti e attivisti.
La crittografia è stata precedentemente considerata sicura
Le e-mail convenzionali non crittografate non sono comunque interessate. Possono comunque essere visualizzate. La crittografia con OpenPGP o S/MIME era precedentemente considerata relativamente sicura se le procedure venivano applicate correttamente.
L’accesso al percorso di trasporto, al server di posta o alla casella di posta elettronica del destinatario era necessario per l’attacco “EFail”. Inoltre, il destinatario deve essere autorizzato a eseguire codice HTML e ricaricare il contenuto esterno nel programma di posta elettronica. Tuttavia, entrambi i metodi potrebbero continuare ad essere utilizzati in modo sicuro se correttamente implementati e configurati.
Per garantire ciò, gli utenti dovrebbero disattivare i contenuti attivi nel loro programma di posta elettronica. Questi includono l’esecuzione del codice HTML e il ricaricamento del contenuto esterno nelle e-mail. A differenza dei client di posta PC, questo è spesso l’impostazione predefinita sui dispositivi mobili. Gli sviluppatori di applicazioni di posta elettronica hanno già annunciato o implementato i dovuti aggiornamenti.