EFAIL: Sicherheitslücken bei den E-Mail Verschlüsselungen PGP und S/MIME
- "Geschrieben von Matthias Pufke"
Sicherheitsforscher und EFF warnen sowohl von Anwendung der Verschlüsselung wie auch vor der Nutzung automatischer Entschlüsselungs-Tools.
Forscher von der Fachhochschule Münster, der Ruhr Universität Bochum und der Katholischen Universität Löwen haben kritische Schwachstellen bei der Verschlüsselung von E-Mail-Clients entdeckt, die dafür PGP oder S/MIME verwenden.
Personen und Organisationen, die sensible Informationen austauschen müssen, sollten sichere Alternativen zur Kommunikation nutzen.
Besonders unsicher für die Angriffsmethode sind den Forschern zufolge Apple Mail (macOS), Mail App (iOS), Thunderbird (Windows, macOS, Linux), Postbox (Windows) und MailMate (macOS).
Das Funktionsprinzip:
Die Angriffe nutzen HTML-Mails, um entschlüsselte Daten an den Server des Angreifers zu schicken. Dabei wird eine bestehende E-Mail so umgestaltet, dass der HTML-Code eine Anfrage zu einem Server auslöst und dabei den entschlüsselten Text der Mail mitschickt.
Bislang gibt es keine echten Fixes und nur unzureichende Workarounds - wer auf Nummer sicher gehen will muss (zumindest vorrübergehend) auf Alternativen wie Signal, etc. ausweichen.