El uso del protocolo DKIM podría permitir que algunos correos electrónicos maliciosos luzcan ilegítimos, señaló US-CERT.
Google, Microsoft y Yahoo arreglaron un problema de criptografía en sus sistemas de correo que podrían permitir que un atacante creara un mensaje malicioso que pueda pasar la verificación de seguridad.
Esta debilidad afecta el DKIM, o Domain Keys Identified Mail, un sistema de seguridad usado por la mayoría de usuarios. DKIM envuelve una firma encriptada alrededor de un correo que verifica el dominio a través del cual el mensaje fue enviado, lo cual ayuda a filtrar mejor los correos legítimos e ilegítimos.
El problema está en que estas llaves pesan menos de 1,024 bits, haciéndolas débiles. El problema se hizo evidente luego que Zachary Harris, un matemático que vive en Florida, recibió un correo de un reclutador de Google usando solo una llave de 512 bits. Pensando que era una broma inteligente de Google, creó una nueva llave y la usó para enviar un mensaje dudoso de Sergey Brin a Larry Page, los fundadores de Google.
Esta no era una broma, sino un problema serio. Según DKIM, los mensajes que pesan menos de 1,024 bits no son necesariamente rechazados. Harris también se dio cuenta que el problema no se limitaba a Google, sino también a Microsoft y a Yahoo. Luego, vio que también se usaba en PayPal, Yahoo, Amazon, eBay, Apple, Dell, LinkedIn, Twitter , y otras empresas más.