Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
27/06/2017
KMail, client de correu per a Linux, va estar quatre anys enviant missatges xifrats com a text pla
Un bug va provocar que KMail estiguera quatre anys enviant missatges xifrats com a text pla. Per culpa d’aquesta fallada es van exposar converses privades d’usuaris de KMail durant quatre anys abans que el bug fóra descobert.
Tal com ens anuncien des de Genbeta, existeixen solucions de correu electrònic enfocades a la privacitat. Hi ha algunes com ProtonMail orientades a l’anonimat, mentre que altres recorren al xifrat dels missatges com una característica addicional, com podria ser el cas E2EMail de Google.
Dins de les solucions de correu que recorren al xifrat com una característica addicional podem trobar KMail, un client per a Linux. Bé, segons s’arreplega en Ctrl blog, un bug en la característica "enviar més tard" enviava com a text pla els missatges xifrats a pesar que KMail presentava tots els indicadors que el missatge havia sigut xifrat usant OpenPGP.
Daniel Aleksandersen, l’investigador que ha detallat la fallada en la font, si es combinava "enviar més tard" i OpenPGP, Kmail deia que el missatge havia sigut signat i xifrat correctament, quan no era així ni de bon tros, l’entrega programada de correus se botava el xifrat PGP sense avís, entregant-los sense la firma PGP i sense estar xifrats de cap manera.
Poden ampliar aquesta notícia en el següent enllaç .