Devido a uma falha de segurança no software Pretty Good Privacy (PGP) de encriptação de dados, qualquer hacker mal intencionado poderá descodificar mensagens confidenciais de correio electrónico. Só precisa de levar os receptores a responderem ao email, segundo noticia a Associated Press.



Esta agência de informação refere que os investigadores Bruce Schneier, da empresa de segurança Counterpane Internet Security, Kahil Jallad e Jonathan Katz, estes últimos pertencentes à Universidade de Colúmbia, nos Estados Unidos, descobriram que alguém que intercepte uma mensagem encriptada poderá descodificá-la ao voltar a "reempacotar" a mensagem e passá-la ao destinatário.



A mensagem será recebida sob a forma de dados sem nexo e incompreensíveis, levando possivelmente o receptor a pedir um reenvio. Se o receptor incluir o texto original com esse pedido - tal como muitos utilizadores têm o seu software configurado para fazer automaticamente quando respondem a emails -, o interceptor poderá então ler a mensagem original.



Schneier, Jallad e Katz descobriram a falha há cerca de um ano atrás, tendo escrito um documento em que incluem uma demonstração prática da vulnerabilidade. Jon Callas, o autor principal author do padrão OpenPGP da Internet Engineering Task Force, afirmou à AP que a vulnerabilidade é séria, embora seja muito difícil de explorar.



De acordo com Callas, muitos pacotes de software PGP comprimem as mensagens antes de serem enviadas. Os investigadores descobriram que essa compressão poderá por vezes impedir a descodificação não autorizada. Segundo Callas, deverá ter sido lançada ontem, segunda-feira, uma actualização para o standard OpenPGP, de forma a coincidir com o anúncio da falha, tendo já vários programadores começado a escrever códigos de correcção para o software existente.



Por enquanto, Schneier e Callas aconselham os receptores de email encriptado com o PGP a evitar incluir o texto completo das mensagens quando responderem.



Há semanas atrás, investigadores da empresa de segurança eEye Digital Security descobriram que potenciais atacantes podiam explorar uma falha de programação num plug-in do PGP para o Microsoft Outlook com vista a violar o computador de um utilizador e, em alguns casos, descodificar mensagens. Contudo, em nenhum destes dois casos a vulnerabilidade afectou a fórmula de encriptação utilizada para codificar as mensagens.



Notícias Relacionadas:

2002-07-11 - eEye descobre vulnerabilidade no plug-in de encriptação em PGP para o Outlook