Sicherheitslücke in PGP/GPG und S/MIME Verschlüsselung von E-Mails: Apple Mail, Outlook und Co. betroffen

| 17:22 Uhr | 0 Kommentare

Am heutigen Tag macht wird Sicherheitslücke bekannt, die die PGP/GPG und S/MIME Verschlüsselung von E-Mails betrifft. Verschiedene Behörden und Sicherheitsorganisationen haben sich bereits zu Wort gemeldet. Wir sagen euch, um was es sich dreht.

Sicherheitsforscher entdecken Sicherheitslücke in E-Mail-Verschlüsselung

Sicherheitsforscher haben eine Sicherheitslücke in der PGP/GPG und S/MIME Verschlüsselung von E-Mails entdeckt. Sowohl Apple Mail, Microsoft Outlook als auch Mozilla Thunderbirds sind betroffen.

Wie es scheint, wird der Angriff auf die Implementierung der Verschlüsselung im Mail Client und nicht selbst über die Verschlüsselung ausgeführt. Was sich jedoch im Detail hinter dem Angriff befindet, wollen die Sicherheitsforscher am morgigen Dienstag mitteilten. Bis dahin wird empfohlen entsprechende Verschlüsselungs-Plugins zu deaktivieren. Wie ihr beispielsweise PGP in Apple Mail deaktiviert erklärt die EFF (Electronic Frottier Foundation) Auch bereits verschickte Mails, sollen im Klartext ausgelesen werden können.

Das Bundesamt für Sicherheit in der Informationstechnik schreibt

Sicherheitsforscher der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der Universität Leuven (Belgien) haben schwerwiegende Schwachstellen in den weitverbreiteten E-Mail-Verschlüsselungsstandards OpenPGP und S/MIME gefunden und das Bundesamt für Sicherheit in der Informationstechnik (BSI) darüber informiert. Angreifer können demnach verschlüsselte E-Mails so manipulieren, dass der Inhalt der Nachricht nach der Entschlüsselung durch den Empfänger im Klartext an sie ausgeleitet wird. Die genannten E-Mail-Verschlüsselungsstandards können nach Einschätzung des BSI allerdings weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden.

Zur Ausnutzung der Schwachstellen muss ein Angreifer Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers haben. Zusätzlich müssen auf Empfängerseite aktive Inhalte erlaubt sein, also etwa die Ausführung von html-Code und insbesondere das Nachladen externer Inhalte. Dies ist derzeit, insbesondere bei mobilen Geräten, in der Regel standardmäßig voreingestellt. Die Hersteller von E-Mailclients haben diesbezüglich Updates ihrer Produkte angekündigt oder schon bereitgestellt. Unabhängig von speziellen Sicherheitsupdates schützt auch die sichere Konfiguration.

Kategorie: Apple

Tags: , ,

0 Kommentare

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.