Aggiornamenti recenti Luglio 11th, 2025 4:49 PM
Mag 14, 2018 Marco Schiaffino In evidenza, News, RSS, Vulnerabilità 1
(Articolo aggiornato alle ore 16:11)
L’allarme è di quelli che vanno presi sul serio, anche perché arriva dalla Electronic Frontier Foundation (EFF), cioè da chi per anni si è battuto per diffondere al massimo l’utilizzo di sistemi di crittografia che consentano di migliorare il livello di riservatezza delle comunicazioni via email.
A suscitare il panico tra i fan della privacy è proprio quel PGP (Pretty Good Privacy) che viene generalmente considerato come lo strumento più accessibile ed efficace per rendere illeggibili i messaggi di posta elettronica nel caso in cui qualcuno dovesse metterci le mani sia intercettandoli, sia ottenendo l’accesso ai messaggi una volta memorizzati su qualsiasi supporto.
La falla di sicurezza individuata da un gruppo di ricercatori, sui cui dettagli per il momento sono circolate solo delle speculazioni, consentirebbe di aggirare la protezione crittografica e leggere tranquillamente i messaggi (compresi quelli inviati in passato) anche se non si ha la chiave normalmente necessaria per decodificarli.
In attesa della patch, tutti gli utilizzatori di PGP devono tenere presente che la loro corrispondenza “protetta” rischia di essere (o diventare) accessibile a chiunque.
La vulnerabilità, in teoria, avrebbe dovuto essere svelata domani, ma le prime descrizioni hanno cominciato a circolare già nella giornata di oggi. Il problema, come si capiva già dalle parole usate per mettere in guardia gli utilizzatori di PGP (“Il nostro consiglio … è di disabilitare immediatamente tutti gli strumenti che decodificano automaticamente i messaggi crittografati con PGP”) riguarda il sistema di decrittazione automatica usato da software di posta elettronica.
La tecnica di attacco, battezzata con il nome di EFAIL, permette in pratica di usare il software della vittima per decodificare i suoi stessi messaggi e recapitarli poi al pirata informatico.
Andiamo con ordine. Per prima cosa il pirata deve mettere le mani sul messaggio crittografato con PGP (intercettandolo via Internet, violando l’account o un dispositivo su cui è memorizzato) che vuole violare.
A questo ha punto tra le mani nulla più che una serie di dati incomprensibili, che possono essere decodificati solo con la chiave privata in possesso del destinatario del messaggio.
Per decodificarlo, però, può sfruttare l’attacco EFAIL con una certa semplicità. Non deve fare altro che copiare il testo crittografato, inserirlo in un’email creata ad arte e inviarlo alla vittima stessa.
Nel messaggio di posta elettronica (rigorosamente in formato HTML) vengono in pratica inserite due parti, una prima e una dopo il testo crittografato. Nella prima parte viene aperto un attributo src (come se si trattasse di un contenuto esterno che il client deve scaricare) che viene chiuso solo nella seconda parte.
Quando la vittima riceve l’email, il suo software di posta elettronica decodifica la parte crittografata e la unisce alle altre due parti. Ciò che ne esce è un’URL che il programma interpreta come un contenuto esterno che deve essere scaricato.
A questo punto invierà la richiesta al dominio relativo. Ma visto che l’url è composta dal messaggio in
chiaro, chi gestisce il dominio si troverà il testo decodificato all’interno dei log di sistema.
Le modalità di attacco, in realtà sono due (descritte in questa pagina Web) e mentre la prima colpisce solo iOS Mail, Apple Mail e Mozilla Thunderbird, la seconda (più complessa e meno efficace) è in grado di colpire qualsiasi client.
Apr 30, 2025 0
Apr 17, 2025 0
Feb 28, 2025 0
Gen 08, 2025 0
Lug 11, 2025 0
Lug 10, 2025 0
Lug 09, 2025 0
Lug 08, 2025 0
Lug 08, 2025 0
In una recente analisi, Group-IB ha approfondito il ruolo...Lug 03, 2025 0
Recentemente il team Satori Threat Intelligence di HUMAN ha...Giu 09, 2025 0
La cybersecurity sta acquisendo sempre più importanza tra...Mag 30, 2025 0
Nel 2024, le piccole e medie imprese, spesso considerate il...Mag 27, 2025 0
MATLAB ha smesso di funzionare per quasi una settimana e...Gen 29, 2025 0
Con l’avvento dell’IA generativa...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Lug 11, 2025 0
I ricercatori di PCA Cybersecurity hanno individuato un set...Lug 10, 2025 0
Un nuovo gruppo APT entra nei radar dei ricercatori di...Lug 09, 2025 0
Un gruppo di cybercriminali ha rubato circa 140 milioni...Lug 08, 2025 0
In una recente analisi, Group-IB ha approfondito il ruolo...Lug 07, 2025 0
Da giovedì scorso Ingram Micro sta soffrendo per via di...
One thought on “Bug critico: smettete subito di usare PGP!”