Sicherheitsforscher haben eine schwerwiegende Sicherheitslücke in Apples eigenem Mail-Programm aus macOS und iOS wie auch in Mozillas Thunderbird ausgemacht. Da normale E-Mails unverschlüsselt sind, können Angreifer potentiell den Inhalt einer Mail auslesen - daher sollten wichtige Informationen mittels S/MIME und PGP verschlüsselt werden, bevor man diese per E-Mail auf die Reise schickt.

Moderne E-Mail-Programme können gleichzeitig mehrere Bestandteile in einer E-Mail übertragen, so zum Beispiel Text und Bilder. Diese werden durch so genannte "MIME Boundaries" voneinander abgetrennt, so dass die E-Mail-App die einzelnen Bestandteile getrennt und übersichtlich darstellen kann. Seit geraumer Zeit erlauben E-Mail-Programme auch HTML zur Formatierung von Nachrichten.

Durch einen schweren Sicherheitsmangel ist es aber möglich, Apple-Mail wie auch Thunderbird dazu zu bewegen, eine Nachricht ohne Zutun des Nutzers zu entschlüsseln und einem Angreifer die entschlüsselte Nachricht zukommen zu lassen. Dazu schickt man dem ursprünglichen Empfänger eine präparierte E-Mail und verwendet einen HTML-Bild-Befehl, dessen Adresse kein normales Web-URL enthält, sondern eine zusätzliche MIME-Boundary:


Mail.app wie auch Thunderbird entschlüsseln die Nachricht in der Adresse des Bildes und fragen dann beim Server des Angreifers nach dem Bild - dummerweise enthält die Bildadresse dann die vollständig unverschlüsselte Nachricht. Das ganze ist ohne Zutun des Nutzers möglich, da Apple-Mail und Thunderbird schon vor Betrachten einer Nachricht die Bilder laden.

Apple wie auch Mozilla werden den Mangel wohl in Kürze in Form eines Software-Updates beheben - bis dahin können sich Nutzer nur schützen, in dem sie die automatische Entschlüsselung deaktivieren oder das Darstellen von HTML-Mails unterbinden.