Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
27/06/2017
KMail, cliente de correo para Linux, estuvo cuatro años enviando mensajes cifrados como texto plano
Un bug provocó que KMail estuviese cuatro años enviando mensajes cifrados como texto plano. Por culpa de este fallo se expusieron conversaciones privadas de usuarios de KMail durante cuatro años antes de que el bug fuese descubierto.
Tal y como nos anuncian desde Genbeta,existen soluciones de correo electrónico enfocadas a la privacidad. Hay algunas como ProtonMail orientadas al anonimato, mientras que otras recurren al cifrado de los mensajes como una característica adicional, como podría ser el caso E2EMail de Google.
Dentro de las soluciones de correo que recurren al cifrado como una característica adicional podemos encontrar KMail, un cliente para Linux. Bien, según se recoge en Ctrl blog, un bug en la característica "enviar más tarde" enviaba como texto plano los mensajes cifrados a pesar de que KMail presentaba todos los indicadores de que el mensaje había sido cifrado usando OpenPGP.
Daniel Aleksandersen, el investigador que ha detallado el fallo en la fuente, si se combinaba "enviar más tarde" y OpenPGP, Kmail decía que el mensaje había sido firmado y cifrado correctamente, cuando no era así ni mucho menos, la entrega programada de correos se saltaba el cifrado PGP sin aviso, entregándolos sin la firma PGP y sin estar cifrados de ninguna manera.
Pueden ampliar esta noticia en el siguiente enlace.