Vergangene Woche wurde ein Angriff auf verschlüsselte E-Mails vorgestellt, der auf den Namen "Efail" getauft wurde: heise.de. Durch diesen konnten Sicherheitsforscher an zumindest einen Teil des Klartextes einer E-Mail gelangen, die mit einem der beiden Standards S/MIME bzw. OpenPGP verschlüsselt war.
Grundlage für den Angriff ist, dass die E-Mail auf dem Weg zum Empfänger manipuliert werden kann. Dann kann ein Angreifer E-Mail-Programme dazu bringen, den eigentlich geheimen Text an eine beliebige URL zu übertragen, z.B. durch den Aufruf dieser über das HTML-Tag für ein Bild. Ein Beispiel findet man unter heise.de. Wichtig ist, dass dabei weder die Verschlüsselung selbst geknackt noch der private Schlüssel offengelegt wird.
Werbeblocker aktiv?
Vermutlich aufgrund eines Werbeblockers kann an dieser Stelle leider keine Werbung angezeigt werden. Als Blog ist diese Website jedoch darauf angewiesen, um diverse Kosten abdecken zu können. Vielleicht möchtest du Servaholics ja in deinem Werbeblocker als Ausnahme hinzufügen und so unterstützen? 🙂
Betroffen sind mit den beiden Standards verschlüsselte E-Mails in prinzipiell allen E-Mail-Programmen - u.a. Outlook, Windows Mail, Thunderbird und Apple Mail. Als Workaround empfiehlt es sich, HTML in E-Mails sowie das Nachladen von Bildern zu deaktivieren, da auf diese Weise die meisten Angriffe verhindert werden können.
Die Entwickler der Apple Mail-Erweiterung "GPGMail" wollen die Angriffe mit "GPG Suite 2018.2" abschwächen: twitter.com. Version 2.0.4 des Thunderbird-Addons Enigmail enthält bereits zwei Workarounds - diese sind aber wohl nicht ausreichend: enigmail.net & heise.de. Thunderbird 52.8.0 bringt ebenfalls erste Korrekturen gegen Efail (CVE-2018-5184) (sowie gegen diverse weitere Sicherheitslücken) - auch diese reichen aber noch nicht aus: thunderbird.net, mozilla.org, blog.mozilla.org & heise.de.