El investigador encontró que durante varios meses Mozilla Thunderbird salvó a algunos usuarios’ Claves OpenPGP en formato de texto plano.
Por ejemplo, Usuarios de Thunderbird recientemente comprendió que cuando abren un programa, pueden ver correos electrónicos cifrados por OpenPGP sin ingresar sus contraseñas maestras. Estos mensajes en Thunderbird solo deberían poder verse después de la autenticación..
La vulnerabilidad ha sido identificada como CVE-2021-29956 y tiene un nivel de gravedad bajo. El error afectó al cliente de correo de todas las versiones entre 78.8.1 y 78.10.1. Permitió a un atacante local ver claves OpenPGP importadas almacenadas en los usuarios’ dispositivos sin cifrado. De este modo, un atacante podría ver y copiar las claves de otra persona y luego hacerse pasar por el remitente de los correos electrónicos protegidos.
El mantenedor de Thunderbird, Kai Engert, admite que este fue su error personal debido a la falta de pruebas.. El caso es que hace unos meses, Los procesos clave fueron reescritos para mejorar su seguridad..
Previamente, el proceso para manejar claves OpenPGP recién importadas en Thunderbird se veía así:
- importación de la clave secreta en un área de memoria temporal;
- desbloquear la llave usando la contraseña ingresada por el usuario;
- copiar la clave al almacenamiento permanente;
- protección de la clave mediante la contraseña automática OpenPGP en Thunderbird;
- guardar una nueva lista de claves secretas en el disco.
Pero, según Engert, después de realizar cambios en el código, sucedió lo siguiente (pasos 3 y 4 fueron revertidos):
- importación de la clave secreta en un área de memoria temporal;
- desbloquear la llave usando la contraseña ingresada por el usuario;
- protección de la clave mediante la contraseña automática OpenPGP en Thunderbird;
- copiar la clave al almacenamiento permanente;
- guardar una nueva lista de claves secretas en el disco.
De hecho, cuando la clave se copió en un almacenamiento persistente, la protección no se copió junto con ella debido a un error en el biblioteca RNP que Thunderbird y Mozilla Firefox utilizan para proteger las claves OpenPGP.
En versión Thunderbird 78.10.2, el error ha sido solucionado, y ahora el cliente de correo buscará claves desprotegidas en secring.gpg. Si se encuentran tales claves, Se convertirán en protegidos..
Déjame recordarte que yo también escribí eso. Los piratas informáticos utilizaron la extensión de Firefox para piratear Gmail.