O cliente de e-mail Mozilla Thunderbird armazenou chaves OpenPGP em texto não criptografado

Mozilla Thunderbird and OpenPGP

O pesquisador encontrado que durante vários meses o Mozilla Thunderbird salvou alguns usuários’ Chaves OpenPGP em formato de texto simples.

Por exemplo, Usuários do Thunderbird recentemente percebeu que quando eles abrem um programa, eles podem visualizar e-mails criptografados pelo OpenPGP sem inserir suas senhas mestras. Essas mensagens no Thunderbird só devem ser visualizadas após autenticação.

A vulnerabilidade foi identificada como CVE-2021-29956 e tem um baixo nível de gravidade. O bug afetou o cliente de email de todas as versões entre 78.8.1 e 78.10.1. Permitiu que um invasor local visse chaves OpenPGP importadas armazenadas nos usuários’ dispositivos sem criptografia. Por isso, um invasor pode visualizar e copiar as chaves de outra pessoa e então se passar pelo remetente dos e-mails protegidos.

O mantenedor do Thunderbird, Kai Engert, admite que este foi seu erro pessoal devido à falta de testes. O fato é que há alguns meses, os principais processos foram reescritos para melhorar sua segurança.

Anteriormente, o processo para lidar com chaves OpenPGP recém-importadas no Thunderbird era assim:

  • importação da chave secreta para uma área de memória temporária;
  • desbloquear a chave usando a senha inserida pelo usuário;
  • copiando a chave para armazenamento permanente;
  • proteção da chave usando a senha OpenPGP automática no Thunderbird;
  • salvando uma nova lista de chaves secretas no disco.

Mas, de acordo com Engert, depois de fazer alterações no código, aconteceu o seguinte (passos 3 e 4 foram revertidos):

  • importação da chave secreta para uma área de memória temporária;
  • desbloquear a chave usando a senha inserida pelo usuário;
  • proteção da chave usando a senha OpenPGP automática no Thunderbird;
  • copiando a chave para armazenamento permanente;
  • salvando uma nova lista de chaves secretas no disco.
O autor do código (aquilo é, meu) e o revisor sugeriu que isso seria equivalente a [a versão anterior]. Mas a nossa suposição de que a proteção da chave privada em passo 3 será preservado quando copiado para outra área … acabou por ser falso.diz Engert.

Na verdade, quando a chave foi copiada para armazenamento persistente, a proteção não foi copiada junto com ela devido a um bug no Biblioteca RNP que Thunderbird e Mozilla Firefox usam para proteger chaves OpenPGP.

Na versão Thunderbird 78.10.2, o bug foi corrigido, e agora o cliente de email irá verificar se há chaves desprotegidas em secring.gpg. Se tais chaves forem encontradas, eles serão convertidos em protegidos.

Deixe-me lembrá-lo que eu também escrevi isso Hackers usaram extensão do Firefox para hackear Gmail.

Por Vladimir Krasnogolovy

Vladimir é um especialista técnico que adora dar conselhos e dicas qualificadas sobre os produtos GridinSoft. Ele está disponível 24 horas por dia, 7 dias por semana para ajudá-lo em qualquer dúvida relacionada à segurança na internet.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *