Die Kollegen von dem “Heise Online” machen darauf aufmerksam , dass auch weiterhin E-Mail-Verschlüsselung mit Vorsicht zu nutzen ist. Vor allem Nutzer des Apple Mail-Plug-ins GPG Tools sollten das Plug-in vorsichtshalber deaktivieren. Das GPG-Plug-in ist Bestandteil der GPG-Tools und für die Darstellung eines per PGP verschlüsselten E-Mail-Textes zuständig. Es kann aber über die als Efail bekannte Sicherheitslücke ausgetrickst werden.
Efail ist eine von Forschern veröffentlichte Angriffsmethode auf E-Mail-Clients, mit der ein Angreifer mit PGP verschlüsselte E-Mails entschlüsseln kann. Ein Angreifer, etwa eine Behörde, die eine Nachricht lesen will, sendet dazu eine speziell präparierte Nachricht mit verschlüsseltem Text an den Sender oder Empfänger der Nachricht. Da Sender und Empfänger der Nachricht einen Entschlüsselungs-Key besitzen, kann eine präparierte Nachricht unter bestimmten Umständen unerkannt entschlüsselt und zurückgeschickt werden. Der Mac wird also zu einer Art Entschlüsselungs-Server. Die EFF hatte deshalb Nutzer von E-Mail-Verschlüsselung zur Deaktivierung von E-Mail-Plug-ins aufgefordert, wofür sie von den Entwicklern des Verschlüsselungssystems viel Kritik einstecken musste.
Die Entwickler des GPG-Plugins hatten bereits am 14. Mai ein Update angekündigt, das die Sicherheitslücke schließen soll, bisher ist dieses Update aber nicht erschienen. Die Entwickler des Plug-ins Enigmail, das E-Mail-Verschlüsselung in Thunderbird möglich macht, haben bereits ein Update veröffentlicht.
Warum man das Plugin deinstallieren soll: Der von den GPG-Tools Entwicklern empfohlene Workaround ist, in den Voreinstellungen von Apple Mail das Nachladen von Inhalten zu deaktivieren. (Entfernte Inhalte in Nachrichten laden). Nach Meinung vieler Fachleute ist dies bei Mail aber nicht ausreichend. Auch bei Deaktivierung dieser Option wird der Inhalt von HTML-E-Mails nämlich in Mail geladen. Im Unterschied zu anderen Client bietet Mail ebenfalls nicht die Option, Nachrichten nur als Text anzuzeigen. Durch einen Trick kann der Nutzer etwa dazu verleitet werden, in eine Nachricht zu klicken und die Entschlüsselung zu starten. Auch ältere verschlüsselte Nachrichten kann ein Angreifer so unerkannt entschlüsseln. Ein großes Restrisiko bleibt also bestehen, gibt es doch neben HTML-E-Mails weitere Angriffsmöglichkeiten, etwa über Dateianhänge.
Micah Leah hat einen Proof of Concept dieses Angriff jetzt sogar auch auf Youtube veröffentlicht, in seinem Beispiel ist das Nachladen von Inhalten deaktiviert.
Bis zum Erscheinen eines Updates des GPG-Plugins empfehlen wir deshalb weiterhin, das Plug-in zu deinstallieren. Eigentlich könnte auch Apple die Sicherheitslücke durch einen Umbau von Mail schließen, scheint dies aber vorerst nicht zu beabsichtigen. Andere E-Mail-Clients sind weniger stark betroffen.
Autor: Stephan Wiesend, Autor
Stephan Wiesend schreibt seit 2001 für IDG Artikel zu den Themen Mac-OS, iOS, Software, Hardware und Praxis. Seit 2003 arbeitet er als freier Autor in München und hat bereits mehrere Bücher zum Thema Apps veröffentlicht.