Google, Microsoft e Yahoo corrigem fraqueza grave de e-mail

Google, Microsoft e Yahoo corrigiram uma falha criptográfica em seus sistemas de e-mail que poderia permitir que um invasor criasse uma mensagem falsificada que passasse por uma verificação matemática de segurança.

A vulnerabilidade afeta DKIM ou DomainKeys Identified Mail, um sistema de segurança usado pelos principais remetentes de email. O DKIM envolve uma assinatura criptográfica em torno de um email que verifica o nome do domínio pelo qual a mensagem foi enviada, o que ajuda a filtrar mais facilmente as mensagens falsificadas das legítimas.

O problema está nas chaves de assinatura com menos de 1.024 bits, que podem ser fatorado devido ao aumento do poder do computador. A US-CERT disse em um comunicado divulgado na quarta-feira que chaves de assinatura com menos de 1.024 bits são fracas e que chaves para RSA-768 foram consignadas. [

[Leia mais: Como remover malware do seu PC com Windows]

A questão veio à tona depois que o matemático Zachary Harris, da Flórida, recebeu um email de um recrutador do Google que usava apenas uma chave de 512 bits, segundo um relatório publicado pela revista Wired

. pelo Google, ele considerou a chave e usou-a para enviar uma mensagem de Sergey Brin a Larry Page, fundadores do Google.

Não foi um teste, mas, na verdade, um problema sério, no qual e-mails que poderiam ser falsos seria confiável. De acordo com o padrão DKIM, as mensagens de e-mail com chaves menores que 1.024 bits não são necessariamente rejeitadas.

Harris descobriu que o problema não se limitava ao Google, mas também à Microsoft e Yahoo, que pareciam ter resolvido o problema de dois dias atrás, de acordo com a US-CERT. Harris disse à Wired que encontrou chaves de 512 ou 768 bits no PayPal, Yahoo, Amazon, eBay, Apple, Dell, LinkedIn, Twitter, SBCGlobal, Banco Americano, HP, Match.com e HSBC. as chaves de assinatura são uma vantagem para os cibercriminosos. Eles visam seletivamente pessoas com e-mails contendo links maliciosos, na tentativa de explorar o software de um computador e instalar malware, um tipo de ataque conhecido como spear phishing. Se um email contiver a assinatura DKIM correta, é mais provável que ele acabe na caixa de entrada de um destinatário.

A US-CERT também avisou sobre outro problema. A especificação DKIM permite que um remetente sinalize que está testando o DKIM nas mensagens. Alguns destinatários "aceitarão mensagens DKIM em modo de teste quando as mensagens forem tratadas como se não fossem assinadas por DKIM", disse a US-CERT.

Envie dicas de notícias e comentários para [email protected]. Siga-me no Twitter: @jeremy_kirk