O Pretty Good Privacy (PGP), um dos programas mais populares para a codificação de emails confidenciais, possui uma falha de programação que poderá permitir que potenciais atacantes invadam o computador de um utilizador e, em certos casos, descodificar as mensagens de correio electrónico.



Descoberta recentemente pela eEye Digital Security, empresa de segurança norte-americana, a vulnerabilidade de segurança afecta, mais precisamente, o plug-in que ajuda os utilizadores do programa de email Microsoft Outlook a encriptar mensagens numa questão de poucos cliques no rato. O plug-in para o Outlook Express, uma versão mais básica do Outlook, não é afectado.



A falha permite que um atacante envie um email especialmente codificado - com aspecto de uma mensagem em branco seguida de um aviso de erro - e que tome efectivamente controle do computador da vítima.



O cracker poderá então instalar software-espião para registar as teclas do teclado premidas pelo utilizador, roubar registos financeiros ou copiar as chaves de desencriptação da pessoa para descodificar os seus emails confidenciais. No entanto, tecnologias de segurança como firewalls poderão dificultar estas acções.



Considerado o software padrão para a encriptação de emails, o PGP é bastante empregue por empresas e gabinetes governamentais de vários países do mundo, incluindo alguns agentes do FBI e de agências de segurança dos Estados Unidos.



A sua tecnologia de codificação é tão poderosa que até 1999 o governo federal dos EUA tentou restringir a comercialização do software, com receio de que criminosos, terroristas e nações estrangeiras o pudessem utilizar.



Dado o facto de o Outlook ser também o programa de email mais utilizado, abrangendo dezenas de milhões de utilizadores pertencentes a muitas das maiores empresas e gabinetes governamentais, o nível de perigosidade é considerado elevado pela eEye. Por outro lado, alguns desses utilizadores empregam o plug-in do Outlook para codificar as suas mensagens mais confidenciais, de modo a que apenas o destinatário as possa ler.



Os investigadores da eEye afirmam que até agora não existem provas de que alguém atacou com êxito os utilizadores do software de encriptação recorrendo a esta técnica, até porque, na sua opinião, a falha de programação não é totalmente óbvia, mesmo para investigadores experientes que observarem o código do software,



A Network Associates, que até Fevereiro deste ano distribuía versões comerciais e gratuitas do PGP, disponibilizou no seu site da Web um download gratuito de um código de correcção para solucionar a falha. Esta companhia tinha anunciado anteriormente que suspendera novas vendas do software, devido ao facto de que este não estava a ser lucrativo. Contudo, ainda continuam disponíveis versões gratuitas do PGP na Web.



Notícias Relacionadas:

2001-11-27 - Badtrans.b substitui SirCam como primeira ameaça nas caixas de email

2000-12-07 - Até onde vai a vigilância?