Tutanota
ha admitido que su servicio de webmail era vulnerable a un error de secuencias
de comandos en sitios cruzados a pesar de que cuenta con que ofrecía un
"servicio de correo electrónico a prueba de la NSA ."
Tutanota
encripta de forma local en el navegador con un método estandarizado, híbrida
que consiste en una simétrica y una clave asimétrica con RSA de 2048 bits y AES
de 128 bits. Este proceso de cifrado se lleva a cabo de forma automática entre
los usuarios Tutanota. Si un usuario Tutanota envía un correo electrónico
cifrado a un destinatario externo, el correo electrónico se cifra con AES de 128
bits con la ayuda de un cambio de contraseña. Asunto, contenido y archivos
adjuntos se cifran automáticamente. El destinatario también puede contestar
directamente con un correo electrónico cifrado.
La
firma fue fundada como una spin-off del Centro de Investigación L3S en la
Universidad Leibniz de Hannover en 2012 por tres estudiantes antiguos. Tutanota
es la esperanza de ganar dinero ofreciendo una versión de pago de su servicio
de correo electrónico seguro que ofrece espacio de almacenamiento adicional y más
funcional, por lo que es atractivo para las empresas.
El
fallo, que habría permitido a los atacantes inyectar código JavaScript
malicioso en los navegadores de las víctimas, fue descubierto y reportado ayer
por la noche por el investigador de seguridad alemán Thomas Roth. Ese es el
mismo investigador que descubrió un fallo similar severa en el servicio
ProtonMail rival. Ambos sitios web realizan el cifrado y descifrado de mensajes
en el navegador, manteniendo las claves de cifrado en las manos de los usuarios
en lugar de los proveedores (y los gobiernos).
Tutanota
confirmó que había arreglado el agujero XSS en un aviso hoy que trató de
minimizar la importancia del fallo:
Era
un posible ataque de cross-site scripting, al reenviar un correo electrónico. El
tema ya se ha solucionado. El ataque funcionaba de la siguiente manera: Al
reenviar un correo electrónico, el tema fue incorporado en el cuerpo del correo
electrónico nuevo unsanitized. Esto hizo que fuera teóricamente posible que los
atacantes manipular el tema sobre el envío de un correo electrónico a una
dirección de correo electrónico Tutanota. A continuación, el atacante tuvo que
engañar al usuario para reenviar este correo electrónico. De esta manera no
habría tenido la oportunidad de ejecutar código JavaScript en el contexto de la
aplicación web.
El
cofundador y desarrollador de Tutanota Arne Möhle dijo: "Si se descubre
una vulnerabilidad de seguridad grave, preferimos cerrar nuestro servicio hasta
que se elimine la vulnerabilidad."
Fuente:
The Register