Sicherheit: Apple-Mail gewährt Angreifern Zugang zu verschlüsselten E-Mails

Sicherheitsforscher haben eine schwerwiegende Sicherheitslücke in Apples eigenem Mail-Programm aus macOS und iOS wie auch in Mozillas Thunderbird ausgemacht. Da normale E-Mails unverschlüsselt sind, können Angreifer potentiell den Inhalt einer Mail auslesen - daher sollten wichtige Informationen mittels S/MIME und PGP verschlüsselt werden, bevor man diese per E-Mail auf die Reise schickt.

Moderne E-Mail-Programme können gleichzeitig mehrere Bestandteile in einer E-Mail übertragen, so zum Beispiel Text und Bilder. Diese werden durch so genannte "MIME Boundaries" voneinander abgetrennt, so dass die E-Mail-App die einzelnen Bestandteile getrennt und übersichtlich darstellen kann. Seit geraumer Zeit erlauben E-Mail-Programme auch HTML zur Formatierung von Nachrichten.

Durch einen schweren Sicherheitsmangel ist es aber möglich, Apple-Mail wie auch Thunderbird dazu zu bewegen, eine Nachricht ohne Zutun des Nutzers zu entschlüsseln und einem Angreifer die entschlüsselte Nachricht zukommen zu lassen. Dazu schickt man dem ursprünglichen Empfänger eine präparierte E-Mail und verwendet einen HTML-Bild-Befehl, dessen Adresse kein normales Web-URL enthält, sondern eine zusätzliche MIME-Boundary:


Mail.app wie auch Thunderbird entschlüsseln die Nachricht in der Adresse des Bildes und fragen dann beim Server des Angreifers nach dem Bild - dummerweise enthält die Bildadresse dann die vollständig unverschlüsselte Nachricht. Das ganze ist ohne Zutun des Nutzers möglich, da Apple-Mail und Thunderbird schon vor Betrachten einer Nachricht die Bilder laden.

Apple wie auch Mozilla werden den Mangel wohl in Kürze in Form eines Software-Updates beheben - bis dahin können sich Nutzer nur schützen, in dem sie die automatische Entschlüsselung deaktivieren oder das Darstellen von HTML-Mails unterbinden.

Kommentare

Peter Eckel14.05.18 13:52
Angegriffen wurde nicht die Verschlüsselung an sich (zumindest nicht nach bisherigem Kenntnisstand), sondern die Darstellung verschlüsselter Mails nach der Entschlüsselung, sofern diese im HTML-Format vorliegen und/oder externe Inhalte nachladen.

Jetzt könnte ich meine Gebetsmühle anwerfen und herunterbeten lassen "HTML hat in Mails nichts verloren, und man läßt erst recht keine externen Inhalte nachladen", aber zum einen hat das die letzten 20 Jahre nichts genützt und zum anderen ist die Realität ja inzwischen so, daß es jeder macht, jede Firma, jeder Privatmann und jedes Mailprogramm in seinen Default-Einstellungen, und so habe ich es irgendwann aufgegeben. Für Missionstätigkeit fehlt mir die Berufung.

Wenn ich aber eine Schlagzeile lese wie "Experten raten vorerst von E-Mail-Verschlüsselung ab" (Spiegel), dann geht mir doch das Messer in der Tasche auf. Das ist einfach Bullshit.

Zu einer etwas sachlicheren Betrachtung (die auch das eigentliche Problem beleuchtet und zumindest in Hinblick auf GnuPG Entwarnung geben kann) geht es hier:

Anderswo im Thread äußert sich auch Werner Koch zum Thema, mit etwas mehr "Fleisch".

Interessant in diesem Zusammenhang ist noch, ob die Mail-Integration von GPGtools die betreffenden manipulierten Mails abfängt. Dazu dürften wir demnächst vom GPGtools-Team etwas hören, ich bin da aber eher optimistisch.

Bis dahin könnte man natürlich einfach HTML-Mails vermeiden und das Nachladen externer Inhalte abschalten ... (und das dann auch gleich in Zukunft so belassen)
+19
sierkb14.05.18 14:39
Peter Eckel
Interessant in diesem Zusammenhang ist noch, ob die Mail-Integration von GPGtools die betreffenden manipulierten Mails abfängt. Dazu dürften wir demnächst vom GPGtools-Team etwas hören, ich bin da aber eher optimistisch.

Dein Optimismus ist berechtigt, man hat sich dererseits heute dazu bereits kurz geäußert, Abhilfe/Fix in Form eines Updates steht kurz bevor, ein schneller Workaround ist bereits jetzt möglich, siehe .
+6
nane
nane14.05.18 17:11
Das Mail bei der Gelegenheit bitte "generalüberholen". Damit wenigstens die gröbsten "Böcke" mal eliminiert werden. Teilweise sind die (inzwischen jahrelang vorhandenen) Fehler kaum noch zu entschuldigen. Das Sicherheitsthema wäre ebenfalls generell durch einen Reiter "Sicherheit" in den Einstellungen sehr schön zu lösen. Danke im Voraus
Das Leben ist ein langer Traum an dessen Ende kein Wecker klingelt.
0
nacho
nacho14.05.18 17:57
Das ist halt das generelle Problem bei Apple, da gibt es kein Team das ständig an der Weiterentwicklung von den jeweiligen Apps arbeitet.

Daher verwende ich lieber Apps von Anbietern die sich mit ihrer Software ständige beschäftigen und weiterentwickeln.
-2
Peter Eckel14.05.18 18:15
nane
Das Mail bei der Gelegenheit bitte "generalüberholen".
Ein paar zusätzliche Einstellungen (z.B. "HTML nicht darstellen, wenn möglich", was es bis vor einigen Versionen noch gab, oder noch besser die aus dem selig dahingeschiedenen Mailsmith bekannte Funktionalität, HTML in Text zu wandeln) wären nett.

Und, endlich, eine ernstzunehmende, dokumentierte und versionsstabile Plugin-Schnittstelle. Nutzer von GPGmail werden wissen, was ich meine.
+2
sierkb14.05.18 19:16
sierkb
Peter Eckel
Interessant in diesem Zusammenhang ist noch, ob die Mail-Integration von GPGtools die betreffenden manipulierten Mails abfängt. Dazu dürften wir demnächst vom GPGtools-Team etwas hören, ich bin da aber eher optimistisch.

Dein Optimismus ist berechtigt, man hat sich dererseits heute dazu bereits kurz geäußert, Abhilfe/Fix in Form eines Updates steht kurz bevor, ein schneller Workaround ist bereits jetzt möglich, siehe .

Ergänzung, 14.05.2018, 19:10 Uhr:

Auf der GPGTools Homepage prangt an prominenter Stelle seit heute spätnachmittag ein diesbzgl. Hinweis mit folgendem Inhalt:
GPGTools, 14.05.2018
May 14th, 2018

EFAIL

A new kind of vulnerability regarding OpenPGP encrypted messages has been found by a team of european researchers called EFAIL which also affects macOS Mail and our Mail plugin GPGMail.

By exploiting a combination of flaws in the way encrypted data is handled in GPGMail as well as Mail, an attacker having access to the encrypted cyphertext may be able to exfiltrate the decrypted content once a user reads the message and have the decrypted content sent to a remote server under their control.

GPG Suite 2018.2 will include mitigations against this vulnerability and will be released this week.

As a temporary workaround, please disable the option to "Load remote content in messages" in Mail → Preferences → Viewing to thwart a possible attack.

+1
kommunikatio
kommunikatio14.05.18 19:58
Heute gab es auf NDR-Info einen Bericht, dass deutsche Wissenschaftler smime und pgp entschlüsseln bzw. knacken können. Es handele sich um alte Standards aus den 90er Jahren.
Es gibt keinen tieferen Sinn.
-1
Peter Eckel14.05.18 20:00
kommunikatio
Heute gab es auf NDR-Info einen Bericht, dass deutsche Wissenschaftler smime und pgp entschlüsseln bzw. knacken können. Es handele sich um alte Standards aus den 90er Jahren.
... und so schreibt einer vom anderen ab, und der Blödsinn wird immer größer.
+2
sierkb14.05.18 20:21
heise (14.05.2018): PGP und S/MIME: So funktioniert Efail
Die Angriffe auf verschlüsselte E-Mails mit S/MIME und OpenPGP lassen sich eigentlich ganz einfach erklären. Wenn man sie einmal verstanden hat, weiß man auch, warum das mit dem Fixen nicht ganz so einfach ist.

GnuPG (14.05.2018): Efail press release
+1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen