Agora Yahoo! encripta todos seus e-mails; mas sistema é falho, diz especialista

Por Redação | 09 de Janeiro de 2014 às 09h30

Os usuários do Yahoo! Mail têm a sua disposição mecanismos de encriptação de conexão via SSL/TLS desde o segundo semestre de 2012. O problema é que, até agora, os usuários tinham que ir até as configurações do serviço para ativar a opção. Segundo uma publicação feita em seu blog, o Yahoo! afirmou que isso está prestes a mudar.

É que a companhia decidiu disponibilizar a encriptação de conexão automaticamente para todos os usuários do seu serviço de e-mails a partir desta quarta-feira (8). "Sempre que você utilizar o Yahoo! Mail – seja na web, no celular, num app móvel ou via IMAP, POP ou SMTP –, seus dados estarão 100% encriptados e com certificados de 2048-bit", disse Jeff Bonforte, vice-presidente sênior de produtos de comunicação da companhia. "Essa encriptação se aplica tanto às mensagens de e-mail, quanto anexos, contatos, calendários e bate-papos no 'Messenger in Mail'", finalizou o executivo.

Embora a notícia seja bem vinda, para Ivan Ristic, diretor do setor de pesquisas em segurança de aplicativos na Qualys, o sistema ainda é inseguro e apresenta algumas inconsistências em sua implementação. Ao analisar a forma que os dados são encriptados, Ristic percebeu que a companhia optou por utilizar o algoritmo assimétrico de encriptação RC4. "O RC4 é considerado fraco e nós recomendamos que as pessoas não o utilizem, ou se tiverem que utilizar, só usem em última instância", disse o especialista ao PC World.

Ainda segundo Ristic, nenhum dos servidores verificados por ele oferecem suporte ao Perfect Forward Secrecy (PFS), um recurso que torna a desencriptação de tráfego SSL praticamente impossível, até mesmo quando a chave privada do servidor é comprometida. Em vez disso, a companhia preferiu adotar o método tradicional de troca de chaves, o RSA.

Tais decisões causam estranhamento, principalmente se o Gmail, seu principal concorrente, for analisado. Com um sistema de encriptação automático desde meados de 2010, o serviço de e-mails da Google passou a adotar o recurso PFS já em 2011.

"Tenho que dizer que o Yahoo! precisa de mais tempo para melhor organizar seus servidores no quesito encriptação. Mas talvez eles também precisem ser mais transparentes sobre o que estão planejando fazer", afirma Ristic. "Seria muito melhor se eles disessem algo do tipo 'Nós não fizemos essas coisas aqui, mas aqui está nosso cronograma para implementá-las'".

A decisão do Yahoo! em disponibilizar a encriptação dos dados automaticamente no Yahoo! Mail teria sido tomada após um documento vazado por Edward Snowden revelar que, em apenas um dia, a NSA teria conseguido coletar informações de mais de 440 mil usuários de uma só vez. O documento ainda revelava que outros sites haviam sido vítimas da agência de segurança, mas a quantidade de informações obtidas fora sensivelmente inferior: 100 mil usuários do Hotmail, 82 mil do Facebook e apenas 33 mil do Gmail.

Fique por dentro do mundo da tecnologia!

Inscreva-se em nossa newsletter e receba diariamente as notícias por e-mail.