Am heutigen Tag macht wird Sicherheitslücke bekannt, die die PGP/GPG und S/MIME Verschlüsselung von E-Mails betrifft. Verschiedene Behörden und Sicherheitsorganisationen haben sich bereits zu Wort gemeldet. Wir sagen euch, um was es sich dreht.
Sicherheitsforscher entdecken Sicherheitslücke in E-Mail-Verschlüsselung
Sicherheitsforscher haben eine Sicherheitslücke in der PGP/GPG und S/MIME Verschlüsselung von E-Mails entdeckt. Sowohl Apple Mail, Microsoft Outlook als auch Mozilla Thunderbirds sind betroffen.
Wie es scheint, wird der Angriff auf die Implementierung der Verschlüsselung im Mail Client und nicht selbst über die Verschlüsselung ausgeführt. Was sich jedoch im Detail hinter dem Angriff befindet, wollen die Sicherheitsforscher am morgigen Dienstag mitteilten. Bis dahin wird empfohlen entsprechende Verschlüsselungs-Plugins zu deaktivieren. Wie ihr beispielsweise PGP in Apple Mail deaktiviert erklärt die EFF (Electronic Frottier Foundation) Auch bereits verschickte Mails, sollen im Klartext ausgelesen werden können.
We’ll publish critical vulnerabilities in PGP/GPG and S/MIME email encryption on 2018-05-15 07:00 UTC. They might reveal the plaintext of encrypted emails, including encrypted emails sent in the past. #efail 1/4
— Sebastian Schinzel (@seecurity) 14. Mai 2018
Das Bundesamt für Sicherheit in der Informationstechnik schreibt
Sicherheitsforscher der Fachhochschule Münster, der Ruhr-Universität Bochum sowie der Universität Leuven (Belgien) haben schwerwiegende Schwachstellen in den weitverbreiteten E-Mail-Verschlüsselungsstandards OpenPGP und S/MIME gefunden und das Bundesamt für Sicherheit in der Informationstechnik (BSI) darüber informiert. Angreifer können demnach verschlüsselte E-Mails so manipulieren, dass der Inhalt der Nachricht nach der Entschlüsselung durch den Empfänger im Klartext an sie ausgeleitet wird. Die genannten E-Mail-Verschlüsselungsstandards können nach Einschätzung des BSI allerdings weiterhin sicher eingesetzt werden, wenn sie korrekt implementiert und sicher konfiguriert werden.
Zur Ausnutzung der Schwachstellen muss ein Angreifer Zugriff auf den Transportweg, den Mailserver oder das E-Mail-Postfach des Empfängers haben. Zusätzlich müssen auf Empfängerseite aktive Inhalte erlaubt sein, also etwa die Ausführung von html-Code und insbesondere das Nachladen externer Inhalte. Dies ist derzeit, insbesondere bei mobilen Geräten, in der Regel standardmäßig voreingestellt. Die Hersteller von E-Mailclients haben diesbezüglich Updates ihrer Produkte angekündigt oder schon bereitgestellt. Unabhängig von speziellen Sicherheitsupdates schützt auch die sichere Konfiguration.
0 Kommentare