Gli standard di crittografia per le e-mail Pgp e S/Mime, molto diffusi e utilizzati tra gli altri da Microsoft Outlook ed Apple mail, sono vulnerabili agli attacchi hacker. A scoprirlo un gruppo di ricercatori degli atenei di Munster e Bochum in Germania e dell’università di Leuven in Belgio. Il consiglio per gli utenti, almeno finché non sarà troata una contromisura in grado di risolvere il problema, è di disinstallare i due software al più presto, se si vuole evitare che i propri messaggi di posta elettronica possano correre il rischio di essere “spiati” da malintenzionati.
“Non sono ancora disponibili contromisure” afferma in un tweet Sebastian Schinzel, capo ricercatore e docente di crittografia applicata all’ateneo di scienze applicate di Munster”. Chi utilizza questi sistemi per comunicazioni molto riservate, spiega il team di esperti in cybersecurity, è meglio disabilitare le soluzioni Pgp/Gpg o S/Mime per il momento.
Le vulnerabilità scoperte nei due standard, spiegano i ricercatori, mettono seriamente a rischio le comunicazioni e le espongono potenzialmente a rendere consultabili i messaggi, anche quelli inviati e ricevuti in passato, secondo l’analisi della Electronic Frontier Foundation, gruppo statunitense che si occupa di diritti digitali.
Intanto Bsi, l’ufficio federale per l’information security, ha rilasciato un comunicato in cui evidenza i rischi che eventuali criminali informatici possano trovare il modo di accedere alle e-mail con il testo decriptato, aggiungendo che i sistemi possono rimanere sicuri se vengono implementati e configurati nel modo corretto. “Le e-mail criptate sono un metodo fondamentale per accrescere la sicurezza dele comunicazioni”, si legge nella nota, che specifica che le vulnerabilità scoperte potrebbero essere “riparate” con patch adeguati e un uso attento dello strumento”.
L’uso dello standard Pgp, acronimo per “Pretty Good Privacy” per tenere al sicuro le comunicazioni era stato caldeggiato tra gli altri da Edward Snowden, che prima di trasferirsi in Russia aveva lanciato l’allarme sull’invadenza della sorveglianza elettronica della national security agency statunitense.
Lo standard Pgp opera utilizzando un algoritmo che genera un file che racchiude l’identità dell’utente e una serie di informazioni che lo riguardano, criptato attraverso un chiave di lettura “privata” dell’utente e che può essere aperta da destinatario con la ricezione – separata – di una chiave pubblica.
Per riuscire a spiare i messaggi l’hacker dovrebbe avere l’accesso al server delle e-mail o alla casela postale del destinatario. Per rendere possibile l‘hackeraggio, inoltre, l’e-mail presa di mira dovrebbe essere in formato Html e avere link attivi a contenuti esterni.
