Todos conocemos alguna solución de correo electrónico enfocada a la privacidad. Hay algunas como ProtonMail que son de lo mejorcito de su clase y están orientadas al anonimato, mientras que otras recurren al cifrado de los mensajes como una característica adicional, como podría ser el caso E2EMail de Google.

Dentro de las soluciones de correo que recurren al cifrado como una característica adicional podemos encontrar KMail, un cliente para Linux empaquetado por defecto con el escritorio KDE que. Según se recoge en Ctrl blog, un bug en la característica "enviar más tarde" enviaba como texto plano los mensajes cifrados. El fallo ha estado cuatro años sin corregirse.

Habrá quien diga que si el usuario no se ha dado cuenta de que el correo no estaba cifrado es culpa suya, pero lo cierto es que KMail presentaba todos los indicadores de que el mensaje había sido cifrado usando OpenPGP.

De acuerdo con Daniel Aleksandersen, el investigador que ha detallado el fallo en la fuente, si se combinaba "enviar más tarde" y OpenPGP, Kmail decía que el mensaje había sido firmado y cifrado correctamente, cuando obviamente no era así ni mucho menos.

La entrega programada de correos se saltaba el cifrado PGP sin aviso, entregándolos sin la firma PGP y sin estar cifrados de ninguna manera. Y como ya hemos dicho, por culpa de este fallo se expusieron conversaciones privadas de usuarios de KMail durante cuatro años antes de que el bug fuese descubierto.

Por suerte el fallo ya ha sido corregido. En la nueva versión de KDE Applications (la 17.04.2) ya no debería presentarse, así que si no estás ejecutando esta versión o una posterior dseberías pensar en actualizar a ella tan pronto como te sea posible.

Vía | Ctrl blog

https://www.genbeta.com/linux/un-bug-provoco-que-kmail-estuviese-cuatro-anos-enviando-mensajes-cifrados-como-texto-plano