Gli utenti attenti alla sicurezza devono fare attenzione: l’esperto Sebastian Schinzel ha riscontrato falle di sicurezza critiche negli standard di crittografia PGP/GPG e S/MIME. La Electronic Frontier Foundation raccomanda di non utilizzare più la crittografia della posta elettronica.
Disabilita o rimuovi gli strumenti PGP
Il FEP consiglia di disattivare preventivamente o rimuovere completamente gli strumenti di crittografia. Gli utenti non dovrebbero più inviare e leggere messaggi crittografati fino a quando il problema non sarà completamente compreso e risolto. Come soluzione provvisoria, si propone di utilizzare altri canali criptati end-to-end.
Segnale per il desktop
Apparentemente, la piattaforma più colpita è Efail. Questa vulnerabilità si aggancia al contenuto attivo nelle mail HTML. Affinché questo funzioni, un utente malintenzionato deve accedere ai messaggi crittografati, che potrebbe ricevere tramite password spiate e rubate. L’utente malintenzionato, quindi, invia alla vittima messaggi crittografati appositamente preparati e può filtrare gli elementi non crittografati.
Cosa fare
Come soluzione provvisoria rapida, gli esperti di sicurezza suggeriscono di rinunciare all’HTML nelle e-mail. Inoltre, non è necessario eseguire la decodifica direttamente nel client di posta, ad esempio con Gpg4win, ma senza l’integrazione in Outlook. Copia il contenuto crittografato tra uno strumento esterno e il client di posta. A medio termine, le patch dovrebbero minimizzare la regione di attacco. Nel lungo periodo, tuttavia, gli esperti suggeriscono modifiche agli standard di crittografia.