Investigadores europeos de seguridad han advertido sobre un conjunto de vulnerabilidades que afectan a los usuarios de PGP y S/MIME. De acuerdo con EFF (Electronic Frontier Foundation) las vulnerabilidades representan un riesgo inmediato para quienes utilizan estas herramientas para la comunicación por correo electrónico, incluida la posible exposición de los contenidos de mensajes anteriores.
Las vulnerabilidades, descritas como EFAIL, se encuentran en OpenPGP y S/MIME, y permiten el descifrado del correo electrónico cifrado. 25 de los 35 sistemas cliente de correo electrónico S/MIME probados y 10 de los 28 sistemas clientes de correo electrónico OpenPGP probados son afectados, con mayor severidad en implementaciones para Apple Mail, iOS Mail y Mozilla Thunderbird.
El fallo puede ser explotado por un atacante mediante un correo electrónico diseñado especialmente para explotar la vulnerabilidad. Una vez explotado exitosamente, el atacante podría tener acceso a todo el correo electrónico cifrado, incluyendo los mensajes que en el futuro sean cifrados.
La recomendación es desinstalar o desactivar los complementos afectados hasta en tanto haya una actualización que corrija el fallo encontrado al parecer en el analizador de los complementos para detectar errores de cifrado.
Detalles de EFAIL se han publicado, junto con recomendaciones para prevenir su ataque. Por lo pronto, no realizar el descifrado en el sistema cliente de correo electrónico sino en una aplicación separada; eliminar las llaves privadas S/MIME y PGP del sistema cliente de correo electrónico; y, desactivar la representación de HTML en el correo electrónico entrante.