Abo
  • Services:

PGP im Browser: Posteo warnt vor Mailvelope mit Firefox

PGP im Browser ist für viele Nutzer bequemer als die Verwendung eines lokalen Mailclients. Doch Firefox-Nutzer sollen nach Angaben von Posteo aufpassen, ihr PGP-Schlüssel könne von manipulierten Addons entwendet werden.

Artikel veröffentlicht am ,
Mit Mailvelope lassen sich PGP-verschlüsselte Mails im Browser entschlüsseln..
Mit Mailvelope lassen sich PGP-verschlüsselte Mails im Browser entschlüsseln.. (Bild: Mailvelope)

Der E-Mail-Anbieter Posteo warnt in einem Blogbeitrag vor der Verwendung des PGP-Addons Mailvelope in Verbindung mit dem Firefox-Browser. Eine unzureichende Abschottung der Addons gegeneinander könne zum Verlust des geheimen PGP-Schlüssels führen, schreibt das Unternehmen unter Verweis auf eine Analyse der Sicherheitsfirma Cure53. Die Warnung bezieht sich natürlich nicht nur auf die Verwendung von Posteo-Accounts mit Mailvelope, sondern auch bei allen anderen Anbietern.

Stellenmarkt
  1. UDG United Digital Group, Hamburg, Herrenberg, Karlsruhe, Ludwigsburg oder Mainz
  2. MEA Service GmbH, Aichach

Angreifer könnten die Schwachstelle nutzen, um mittels kompromittierter Addons den Privaten Schlüssel des Nutzers auszulesen. In dem Blogpost von Posteo heißt es deshalb, "Letztendlich kann das Cure53-Team das Verwenden von Mailvelope unter Firefox nicht guten Gewissens empfehlen." Das wird auch erst einmal so bleiben, denn die Schwachstelle basiert auf einem Problem in der aktuellen Firefox-Version. Eine Überarbeitung der Addon-Architektur soll mit der Firefox-Version 57 im November dieses Jahres erscheinen.

Der Entwickler von Mailvelope, Thomas Oberndörfer, soll bereits über das Problem informiert worden sein. Bei Posteo sagte er: "Mailvelope ist natürlich von der Sicherheit der zugrundeliegenden Browser Plattform abhängig. Schwächen im Addon-System von Firefox sind schon länger bekannt, umso mehr ist es zu begrüßen, dass Mozilla hier jetzt nachbessert." Mario Heidereich von Cure53 sagt zu der Schwachstelle: "Das Problem liegt aktuell in der Architektur. Daher gibt es keinen einfachen Fix. Mozilla weiß das, muss aber auch den schweren Spagat zwischen radikalen Änderungen sowie besonnenen und daher oft träge wirkenden Entscheidungen halten."

Notlösung: Mailvelope in separatem Profil nutzen

Posteo empfiehlt daher, Mailvelope unter Firefox nicht weiter zu verwenden, bis die Probleme behoben sind. Nutzer können ihre Einstellungen exportieren und die Extension etwa unter Google Chrome weiter nutzen. Alternativ kann PGP natürlich mit einem Mailclient wie Thunderbird genutzt werden. Wer das Addon unbedingt weiter unter Firefox nutzen will, kann dies tun, indem er Mailvelope in einem separaten Profil installiert und dort keine weiteren Addons nutzt.

Der von Posteo finanzierte Prüfbericht enthält nach Angaben des Unternehmens die für einen Angriff notwendigen Informationen. Daher soll er erst veröffentlicht werden, wenn alle Probleme gelöst sind. Hintergründe zum Thema PGP im Browser haben wir in einem Artikel beleuchtet.



Anzeige
Spiele-Angebote
  1. 19,99€
  2. 59,99€ mit Vorbesteller-Preisgarantie (Release 14.11.)
  3. (-55%) 17,99€
  4. 49,95€

rugk 05. Mai 2017

Wenn Geheimdienste es schaffen, dir Malware unterzujubeln, dann sind PGP-verschlüsselte...

Comicbuchverkäufer 04. Mai 2017

da ich nur noch zwei weitere Addons verwende. DownThemAll und uBlock. Man sollte halt...


Folgen Sie uns
       


Der Güterzug der Zukunft - Bericht

Auf der Innotrans 2018 haben Verkehrsforscher des Deutschen Zentrums für Luft- und Raumfahrt ein Konzept für den Güterzug der Zukunft vorgestellt.

Der Güterzug der Zukunft - Bericht Video aufrufen
Dell Ultrasharp 49 im Test: Pervers und luxuriös
Dell Ultrasharp 49 im Test
Pervers und luxuriös

Dell bringt mit dem Ultrasharp 49 zwei QHD-Monitore in einem, quasi einen Doppelmonitor. Es könnte sein, dass wir uns im Test ein kleines bisschen in ihn verliebt haben.
Ein Test von Michael Wieczorek

  1. Magicscroll Mobiles Gerät hat rollbares Display zum Herausziehen
  2. CJG50 Samsungs 32-Zoll-Gaming-Monitor kostet 430 Euro
  3. Agon AG322QC4 Aggressiv aussehender 31,5-Zoll-Monitor kommt für 600 Euro

15 Jahre Extreme Edition: Als Intel noch AMD zuvorkommen musste
15 Jahre Extreme Edition
Als Intel noch AMD zuvorkommen musste

Seit 2003 verkauft Intel seine CPU-Topmodelle für Spieler und Enthusiasten als Extreme Edition. Wir blicken zurück auf 15 Jahre voller zweckentfremdeter Xeon-Chips, Mainboards mit Totenschädeln und extremer Prozessoren, die mit Phasenkühlung demonstriert wurden.
Von Marc Sauter

  1. Quartalszahlen Intel legt 19-Milliarden-USD-Rekord vor
  2. Ryan Shrout US-Journalist wird Chief Performance Strategist bei Intel
  3. Iris GPU Intel baut neuen und schnelleren Grafiktreiber unter Linux

Sony RX100 VI im Test: Besser geht Kompaktkamera kaum
Sony RX100 VI im Test
Besser geht Kompaktkamera kaum

2012 hat die Sony seine Kompaktkameraserie RX100 gestartet. Das neue Modell RX100 VI mit extra großem Zoom zeigt, dass sich auch eine gute Kamera immer noch verbessern lässt. Perfekt ist sie jedoch immer noch nicht.
Ein Test von Andreas Donath

  1. M10-D Leica nimmt Digitalkamera absichtlich das Display
  2. Keine Speicherkarten Zeiss plant Vollformatkamera ZX1 mit eingebautem Lightroom
  3. Insta 360 Pro 2 Neue Profi-360-Grad-Kamera nimmt 3D-Videos in 8K auf

    •  /