KMail es un cliente de correo electrónico muy difundido porque forma parte del conocido entorno KDE. Desafortunadamente, tiene una grave vulnerabilidad que permite que cualquier persona con acceso de lectura al fichero de configuración pueda descifrar inmediatamente la contraseña de correo.
La configuración de las cuentas se guarda en el fichero ..kde/share/config/kmailrc, en el cual hay una entrada denominada passwd que guarda la contraseña para acceder al servicio POP3. Esta contraseña se guarda cifrada, pero el algoritmo de cifrado es tan simple que convierte en trivial la tarea de recuperarla. El algoritmo de cifrado puede expresarse como: E(c) = ASCII(287-ASCII(c))
Por ejemplo,
E(ñ) = ASCII(287-ASCII(ñ)) = ASCII(287-241) = ASCII(46) =
.
y
E(kde) = E(k) E(d) E(e) = = ASCII(287-ASCII(k)) ASCII(287-ASCII(d)) ASCII(287-ASCII(e)) = = ASCII(287-107) ASCII(287-100) ASCII(287-101) = = ASCII(180) ASCII(187) ASCII(186) = = ¦+¦
Evidentemente, este hecho supone una seria amenaza para la seguridad de las contrase_as cifradas. Afortunadamente, KMail por defecto no guarda la contrase_a POP3 sino que para hacerlo hay que activar la opci¢n «Store password in config file». A la vista del m’todo de cifrado utilizado, recomendamos encarecidamente no utilizar dicha opci¢n, a pesar de la incomodidad que ello supone.
Existe, adem s, el problema adicional de que al borrar una cuenta toda la informaci¢n de ‘sta, inclu¡da la contrase_a d’bilmente cifrada, permanece en el fichero de configuraci¢n.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldiacom.asp?id=772
M s informaci¢n:
KDE
http://www.kde.org/
Julio C’sar Hern ndez
jcesar@hispasec.com
http://www.hispasec.com
