Unverschlüsselt

Sicherheitslücke in Apple Mail entdeckt - E-Mails nicht sicher?

Während schon größere Sicherheitslücken („Spectre“ und „Meltdown“) dieses Jahr einläuteten, setzt sich dieser „Trend“  weiter fort. Forscher haben nun herausgefunden, dass es eine Problem bei der Darstellung von HTML-Inhalten in Apples Mail-Programmen für iOS und macOS gibt. Auch Mozilla Thunderbird soll betroffen sein und es Angreifern möglich machen, verschlüsselte E-Mails als Klartext anzuzeigen.

Von   Uhr

Im normalen Gebrauch werden E-Mails meist unverschlüsselt verschickt. Um Geheimnisse zu schützen, vertrauen Unternehmen und sicherheitsorientierte Menschen auf eine verschlüsselte Kommuniktation mit S/MIME und PGP. Allerdings scheint auch hier die Sicherheit fraglich zu sein, wenn bestimmte E-Mail-Programme genutzt werden. Dies fand efail.de nun in einem umfassenden Bericht heraus. Betroffen sind auch Apples Mail-App für iOS und macOS sowie Mozilla Thunderbird. Bei diesen Programmen soll es möglich sein, durch eine Erweiterung die HTML-Darstellung auszunutzen, um den E-Mail-Inhalt im Klartext dazustellen.

Die Funktionsweise ist hier denkbar einfach. Gelangt ein Angreifer in den Besitz einer verschlüsselten E-Mail eines anderen Nutzers, dann kann der Angreifer die verschlüsselte E-Mail einfach an den ursprünglichen Absender zurückschicken und erhalt dabei Einsicht in den Inhalt der E-Mail, ohne dass er dafür den Zugriff auf die privaten Verschlüsselungsschlüssel des Absenders benötigt. 

So funktioniert die neue Mail-Sicherheitslücke

Der Versand besteht dabei aus mehreren Teilen: ein HTML-Image-Tag, dem verschlüsselten Text sowie dem Schluss des HTML-Image-Tags. Nachdem der ursprüngliche Texte in das HTML-Tag verpackt wurde, sendet der Angreifer die E-Mail an den eigentlichen Absender. Dort entschlüsselt der Mail-Client nun den zweiten Part – den verschlüsselten Text – und enkodiert alle nicht-druckbaren Zeichen. Danach wird das Bild über die hinterlegte URL abgefragt. Der Link enthält nun den Inhalt der verschlüsselten Nachricht als Klartext und schickt diesen bei der Abfrage zurück an den Angreifer. 

Laut EFAIL sollte sich das Problem schnell in den Griff bekommen lassen und könnte mit einem einfach Update behoben werden. Nach dem Bekanntwerden dürfte Apple wohl mit Hochdruck an einer Lösung arbeiten und diese schon bald zur Verfügung stellen.

Mehr zu diesen Themen:

Diskutiere mit!

Hier kannst du den Artikel "Sicherheitslücke in Apple Mail entdeckt - E-Mails nicht sicher?" kommentieren. Melde dich einfach mit deinem maclife.de-Account an oder fülle die unten stehenden Felder aus.

Korrigiert mal eure reißerische Überschrift.
So denken viele das würde „nur“ Apple Mail betreffen. Das gilt natürliche für alle Mail-Clients.

Die Überschrift passt gar nicht. Es ist eine Lücke im Verschlüsselungsplugin, den es ist für Apple Mail gibt.
Apple Mail an sich ist außen vor.

Die Kommentare für diesen Artikel sind geschlossen.