Pesquisadores de segurança estão enviando um aviso ao mundo inteiro sobre uma falha crítica nas ferramentas de criptografia de e-mail OpenPGP e S / MIME. A vulnerabilidade tem o codinome EFAIL e permite que os invasores extraiam o conteúdo em texto sem formatação de todas as suas mensagens enviadas / recebidas.

O fato de essa falha tornar a criptografia de e-mail inútil é muito perturbador. Infelizmente, a EFF confirmou que atualmente não há correções ou patches confiáveis ​​para resolver o problema.

Até que um número suficiente de clientes seja corrigido de maneira confiável, o envio de mensagens criptografadas por PGP pode criar incentivos adversos ao ecossistema para que outros os descriptografem. Equilibrar os riscos de continuar a usá-lo pode ser complicado e depende da sua situação e dos seus contatos.

Os usuários são aconselhados a desativar plug-ins de criptografia de email

Até novo aviso, os usuários foram aconselhados a desativar os plug-ins de criptografia de e-mail para evitar que os invasores recuperem e-mails criptografados após a publicação do artigo.

Essas etapas são planejadas como uma interrupção temporária e conservadora até que o risco imediato da exploração tenha passado e seja mitigado pela comunidade em geral.

Para obter mais informações sobre como desativar a criptografia de email no Outlook, consulte o guia da EFF.

O estado atual da situação

Alguns pesquisadores começaram a divulgar mais detalhes sobre a falha antes do previsto e, como resultado, o site efail.de está ativo e também o trabalho de pesquisa. Ambos apresentam detalhes detalhados sobre a falha do EFAIL. A vulnerabilidade já foi confirmada para afetar plug-ins de email para dar suporte a operações de criptografia.