El día de ayer se dio a conocer una noticia sobre una vulnerabilidad, EFAIL, que afecta a PGP y S/MIME. La consecuencia de su explotación es que se perdía la privacidad en el correo cifrado, ya que se podía recuperar los textos tanto en el correo recibido como el enviado.
Una de las aplicaciones señaladas fue KMail, el cliente de correo oficial del Proyecto KDE. ¿Está la privacidad de la aplicación comprometida? Lo primero que cuentan en una entrada en la sección de noticias es que los usuarios que no usan OpenPGP y S/MIME no tienen de qué preocuparse, ya que no están afectados por la vulnerabilidad descubierta. El cifrado de extremo a extremo, que es lo que permiten PGP y S/MIME, se utiliza para reforzar la privacidad de las comunicaciones. Para hacer uso de esos protocolos, KDE se apoya en GnuPG, cuya trayectoria dejó sorprendido al mundo entero.
Resumiendo mucho, la vulnerabilidad se apoya en varios canales de filtración para recuperar el texto. Para ello, se puede explotar las capacidades HTML de los clientes de correo. En caso de no estar contra controlada correctamente, los emails en HTML pueden descargar de fuentes externas recursos como imágenes.
La idea básica del ataque consiste en introducir más contenido cifrado dentro de mensajes cifrados interceptados, siendo esto luego es recuperado por el cliente de correo mientras se despliega el HTML. Después se iniciaría la filtración del texto del email como parte de una solicitud GET de HTTP a un servidor controlado por el atacante.
Sobre OpenPGP, la comunidad de KDE dice que cuenta con mecanismos para detectar las manipulaciones en los emails, así que los usuarios de KMail no tendrían de que preocuparse. Sin embargo, diferente es la situación con S/MIME, ya que este no cuenta con mecanismos para proteger la integridad de los contenidos cifrados, por lo que no pueden detectar EFAIL, aunque afortunadamente KMail no recupera por defecto elementos externos en los email en formato HTML, por lo que los usuarios aún cuentan con cierta protección ante esta situación de riesgo.
Parece que los usuarios de KMail no tienen que preocuparse en exceso de este fallo de seguridad, aunque es muy recomendable restringir al máximo la reproducción de contenidos en los mensajes en formato HTML, sobre todo impidiendo aquellos que son externos.
