Die in Apple Mail für iOS und macOS entdeckten HTML-Rendering-Fehler wurden heute Morgen detailliert beschrieben, damit skrupellose Angreifer entschlüsselten Text aus Ihren verschlüsselten E-Mails ableiten können.
Sebastian Schinzel, Professor für Computersicherheit, hat gestern eine Studie zu dieser Sicherheitsanfälligkeit veröffentlicht, die als EFAIL bezeichnet wird.
Worum geht es bei dieser Sicherheitsanfälligkeit??
Kurz gesagt, diese Sicherheitsanfälligkeit ermöglicht es einem Angreifer, den Klartext von verschlüsselten E-Mails einer anderen Person freizugeben, ohne die privaten Verschlüsselungsschlüssel des Absenders zu benötigen, einschließlich verschlüsselter E-Mails, die in der Vergangenheit gesendet wurden. Damit der Angriff funktioniert, muss eine schändliche Partei im Besitz Ihrer verschlüsselten S / MIME- oder PGP-E-Mails sein.
Dazu wird ein speziell gestaltetes Bild-Tag zusammen mit einer Zeichenfolge aus verschlüsseltem Text verwendet. Die Kombination bewirkt, dass Apple Mail für iOS und macOS den Inhalt verschlüsselter Nachrichten entschlüsselt. Durch das Öffnen einer verschlüsselten E-Mail wird der Client aufgefordert, das angegebene Image von einer Domäne zu laden, die von einem Angreifer gesteuert wird, sodass er Kopien entschlüsselter Nachrichten abrufen kann.
Dieses Problem betrifft auch Benutzer von Mozillas Thunderbird-E-Mail-Client.
Wie ernst ist es??
Benjamin Mayo diskutiert mögliche Auswirkungen dieses Fehlers:
Der Angriff beruht auf der Kontaktaufnahme mit derselben Person, die die verschlüsselte E-Mail an erster Stelle gesendet hat. Es ist nicht möglich, jemanden aus heiterem Himmel per E-Mail zu benachrichtigen und einen Server mit entschlüsselten Inhalten zu beauftragen. Das Risiko einer beeinträchtigten Kommunikation steigt, wenn die E-Mail Teil einer Gruppenkonversation ist, da der Angreifer nur eine Person in der Kette ansprechen muss, um die Entschlüsselung durchzuführen.
Zusätzlich zum HTML-Rendering-Problem veröffentlichten die Forscher auch einen technischeren Exploit der S / MIME-Standardspezifikation selbst, von dem neben Apples auch 20 Clients betroffen sind. Um diese Sicherheitsanfälligkeit langfristig umfassend zu beheben, müssen die zugrunde liegenden E-Mail-Verschlüsselungsstandards aktualisiert werden.
Die Electronic Frontier Foundation äußerte sich wie folgt:
EFF hat mit dem Forschungsteam Kontakt aufgenommen und kann bestätigen, dass diese Sicherheitslücken ein unmittelbares Risiko für diejenigen darstellen, die diese Tools für die E-Mail-Kommunikation verwenden, einschließlich der potenziellen Offenlegung des Inhalts früherer Nachrichten.
Dieser Fehler betrifft nur Personen, die PGP / GPG- und S / MIME-E-Mail-Verschlüsselungssoftware verwenden, die Nachrichten ohne Verschlüsselungsschlüssel unlesbar macht. Geschäftsanwender verlassen sich häufig auf Verschlüsselung, um das Abhören ihrer E-Mail-Kommunikation zu verhindern.
Die meisten E-Mails werden jedoch unverschlüsselt gesendet.
Wie Sie sich schützen können
Ein vorübergehender Fix: Entfernen Sie das GPGTools / GPGMail-Verschlüsselungs-Plugin von Apples Mail unter macOS (Papierkorb mit dem GPGMail.mailbundle von / Bibliothek / Mail / Bundles oder ~ / Library / Mail / Bundles).
Deaktivieren Sie als extremere Maßnahme das Abrufen von Emote-Inhalten: umschalten "Laden von Remote-Inhalten in Nachrichten" in Mail für macOS Einstellungen und Remote-Images laden in Mail für iOS.
Apple wird wahrscheinlich eine Notlösung für diesen schwerwiegenden Fehler herausgeben. Bleiben Sie also auf dem Laufenden und sehen Sie sich diesen Bereich an. Wir versprechen, Sie auf dem Laufenden zu halten.
In der Zwischenzeit teilen Sie uns Ihre Meinung zu dieser neu entdeckten Sicherheitsanfälligkeit in Apple Mail und anderen E-Mail-Clients mit, indem Sie unten einen Kommentar hinterlassen.
