KMail es un cliente de correo electrónico muy difundido porque forma
parte del conocido entorno KDE. Desafortunadamente, tiene una grave
vulnerabilidad que permite que cualquier persona con acceso de lectura
al fichero de configuración pueda descifrar inmediatamente la
contraseña de correo.
La configuración de las cuentas se guarda en el fichero
.kde/share/config/kmailrc, en el cual hay una entrada denominada
passwd que guarda la contraseña para acceder al servicio POP3. Esta
contraseña se guarda cifrada, pero el algoritmo de cifrado es tan
simple que convierte en trivial la tarea de recuperarla. El algoritmo
de cifrado puede expresarse como: E(c) = ASCII(287-ASCII(c))
Por ejemplo,
E(ñ) = ASCII(287-ASCII(ñ)) = ASCII(287-241) = ASCII(46) = .
y
E(kde) = E(k) E(d) E(e) =
= ASCII(287-ASCII(k)) ASCII(287-ASCII(d)) ASCII(287-ASCII(e)) =
= ASCII(287-107) ASCII(287-100) ASCII(287-101) =
= ASCII(180) ASCII(187) ASCII(186) =
= ´»º
Evidentemente, este hecho supone una seria amenaza para la seguridad
de las contraseñas cifradas. Afortunadamente, KMail por defecto no
guarda la contraseña POP3 sino que para hacerlo hay que activar la
opción «Store password in config file». A la vista del método de
cifrado utilizado, recomendamos encarecidamente no utilizar dicha
opción, a pesar de la incomodidad que ello supone.
Existe, además, el problema adicional de que al borrar una cuenta toda
la información de ésta, incluída la contraseña débilmente cifrada,
permanece en el fichero de configuración.
jcesar@hispasec.com
Más información:
Deja una respuesta