„EFAIL“ Mail Verschlüsselung PGP und S/MIME mit Sicherheitslücken – Vorerst deaktivieren [3.Update]

Kurz notiert für die Nutzer der E-Mail Verschlüsselung PGP und S/MIME. Eine Gruppe von Sicherheitsforschern haben eine Warnung herausgegeben und eine Reihe von Schwachstellen veröffentlicht, die die Verschlüsselung PGP und S/MIME betreffen. Diese Schwachstellen stellen ein Risiko dar, wenn die Tools für die Mails genutzt werden.

Dies kann sogar die Offenlegung der Inhalte früherer Mails mit einschließen. Am Dienstag werden dann weitere Infos dazu bekanntgegeben. Solange sollte man die Tools, die die Mails verschlüsseln mindestens deaktivieren, wenn nicht sogar deinstallieren. Solange bis die Fehler behoben werden. Das Senden und das Lesen von PGP-verschlüsselten E-Mails sollte man vorübergehend einstellen.

http://www.stockvault.net/photo/174251/cyber-security-concept

Dies betrifft unter anderem Thunderbird mit Enigmail, Apple Mail mit GPGTools, Outlook mit Gpg4win wie auf der Seite eff.org beschrieben. Scheint eine doch dicke Lücke zu sein, sodass man sich an die Anweisungen halten sollte. Unverständlich, warum man an die Öffentlichkeit geht und die Infos erst morgen veröffentlichen will. Denn viele fragen nun schon, ob auch ProtonMail betroffen ist.

Update: Erste Infos zu EFAIL sind nun bekannt geworden

„EFAIL beschreibt Schwachstellen in den End-to-End-Verschlüsselungstechnologien OpenPGP und S/MIME, die den Klartext verschlüsselter E-Mails durchsickern lassen.“ „Kurz gesagt, EFAIL missbraucht aktive Inhalte von HTML-E-Mails, z.B. extern geladene Bilder oder Stile, um Klartext über angeforderte URLs zu exfiltrieren. Um diese Exfiltrationskanäle zu erstellen, benötigt der Angreifer zunächst Zugriff auf die verschlüsselten E-Mails, z. B. durch Abhören des Netzwerkverkehrs, Beeinträchtigung von E-Mail-Konten, E-Mail-Servern, Backup-Systemen oder Client-Computern.“

Wie funktioniert es

„Es gibt zwei verschiedene Arten von EFAIL-Angriffen. Erstens missbraucht der direkte Exfiltrationsangriff Schwachstellen in Apple Mail, iOS Mail und Mozilla Thunderbird, um den Klartext verschlüsselter E-Mails direkt zu exfiltrieren. Diese Schwachstellen können in den jeweiligen E-Mail-Clients behoben werden. Der Angriff funktioniert so. Der Angreifer erstellt eine neue mehrteilige E-Mail mit drei Körperteilen, wie unten gezeigt. Der erste ist ein HTML-Body-Teil, der im Wesentlichen ein HTML-Bild-Tag enthält. Beachten Sie, dass das src-Attribut dieses Image-Tags mit Anführungszeichen geöffnet, aber nicht geschlossen wird. Der zweite Körperteil enthält den PGP- oder S/MIME-Verschlüsselungstext. Der dritte ist wieder ein HTML-Body-Teil, der das src-Attribut des ersten Body-Teils schließt.“ Mehr dazu lest euch hier durch: efail.de/

[2. Update] Noch ein Nachtrag: Stefan Esser hat auf Twitter noch geschrieben (Übersetzt) „Es ist verständlich, wenn Sie (eff.org) behaupten, dass PGP unsicher ist und nicht einmal @gnupg kontaktiert hat, werden sie zu Recht angepisst sein, wenn die wahre Geschichte ist, dass Mailer, die PGP benutzen, kaputt sind und nicht wirklich PGP/GPG.“ Sollte eigentlich alles aussagen zu den vielen Meldungen, dass PGP geknackt ist.

3.Update: Jetzt hat efail.de eine PDF herausgegeben, die nun alle Daten und Infos zeigt. Wichtig ist, dass man seine Mail Programme auf den neuesten Stand bringt. Web Apps scheinen dagegen sicher zu sein. Solange hilft, die Bildervorschau zu deaktivieren und HTML-Mails sollten solange abgeschaltet werden. efail.de/efail-attack-paper.pdf

via: arstechnica und bleepingcomputer

„EFAIL“ Mail Verschlüsselung PGP und S/MIME mit Sicherheitslücken – Vorerst deaktivieren [3.Update]
Artikel teilen
Über den Autor
ähnliche Artikel
vorheriger Artikel
nächster Artikel

7 Kommentare zu “„EFAIL“ Mail Verschlüsselung PGP und S/MIME mit Sicherheitslücken – Vorerst deaktivieren [3.Update]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Hiermit akzeptiere ich die Datenschutzerklärung für diesen Kommentar.