Abo
  • Services:

PGP im Browser: Posteo warnt vor Mailvelope mit Firefox

PGP im Browser ist für viele Nutzer bequemer als die Verwendung eines lokalen Mailclients. Doch Firefox-Nutzer sollen nach Angaben von Posteo aufpassen, ihr PGP-Schlüssel könne von manipulierten Addons entwendet werden.

Artikel veröffentlicht am ,
Mit Mailvelope lassen sich PGP-verschlüsselte Mails im Browser entschlüsseln..
Mit Mailvelope lassen sich PGP-verschlüsselte Mails im Browser entschlüsseln.. (Bild: Mailvelope)

Der E-Mail-Anbieter Posteo warnt in einem Blogbeitrag vor der Verwendung des PGP-Addons Mailvelope in Verbindung mit dem Firefox-Browser. Eine unzureichende Abschottung der Addons gegeneinander könne zum Verlust des geheimen PGP-Schlüssels führen, schreibt das Unternehmen unter Verweis auf eine Analyse der Sicherheitsfirma Cure53. Die Warnung bezieht sich natürlich nicht nur auf die Verwendung von Posteo-Accounts mit Mailvelope, sondern auch bei allen anderen Anbietern.

Stellenmarkt
  1. BIM Berliner Immobilienmanagement GmbH, Berlin
  2. OHB System AG, Bremen, Oberpfaffenhofen

Angreifer könnten die Schwachstelle nutzen, um mittels kompromittierter Addons den Privaten Schlüssel des Nutzers auszulesen. In dem Blogpost von Posteo heißt es deshalb, "Letztendlich kann das Cure53-Team das Verwenden von Mailvelope unter Firefox nicht guten Gewissens empfehlen." Das wird auch erst einmal so bleiben, denn die Schwachstelle basiert auf einem Problem in der aktuellen Firefox-Version. Eine Überarbeitung der Addon-Architektur soll mit der Firefox-Version 57 im November dieses Jahres erscheinen.

Der Entwickler von Mailvelope, Thomas Oberndörfer, soll bereits über das Problem informiert worden sein. Bei Posteo sagte er: "Mailvelope ist natürlich von der Sicherheit der zugrundeliegenden Browser Plattform abhängig. Schwächen im Addon-System von Firefox sind schon länger bekannt, umso mehr ist es zu begrüßen, dass Mozilla hier jetzt nachbessert." Mario Heidereich von Cure53 sagt zu der Schwachstelle: "Das Problem liegt aktuell in der Architektur. Daher gibt es keinen einfachen Fix. Mozilla weiß das, muss aber auch den schweren Spagat zwischen radikalen Änderungen sowie besonnenen und daher oft träge wirkenden Entscheidungen halten."

Notlösung: Mailvelope in separatem Profil nutzen

Posteo empfiehlt daher, Mailvelope unter Firefox nicht weiter zu verwenden, bis die Probleme behoben sind. Nutzer können ihre Einstellungen exportieren und die Extension etwa unter Google Chrome weiter nutzen. Alternativ kann PGP natürlich mit einem Mailclient wie Thunderbird genutzt werden. Wer das Addon unbedingt weiter unter Firefox nutzen will, kann dies tun, indem er Mailvelope in einem separaten Profil installiert und dort keine weiteren Addons nutzt.

Der von Posteo finanzierte Prüfbericht enthält nach Angaben des Unternehmens die für einen Angriff notwendigen Informationen. Daher soll er erst veröffentlicht werden, wenn alle Probleme gelöst sind. Hintergründe zum Thema PGP im Browser haben wir in einem Artikel beleuchtet.



Anzeige
Top-Angebote
  1. (u. a. Samsung Galaxy Note 9 Duos N960F/DS 128 GB für 699€ inkl. Direktabzug und Apple iPhone XS...
  2. 55,70€
  3. (aktuell u. a. Corsair Gaming M65 Pro RGB als neuwertiger Outlet-Artikel für 29,99€ + Versand...
  4. (nur für Prime-Mitglieder)

rugk 05. Mai 2017

Wenn Geheimdienste es schaffen, dir Malware unterzujubeln, dann sind PGP-verschlüsselte...

Comicbuchverkäufer 04. Mai 2017

da ich nur noch zwei weitere Addons verwende. DownThemAll und uBlock. Man sollte halt...


Folgen Sie uns
       


Azio Retro Classic Tastatur - Test

Die Azio Retro Classic sieht mehr nach Schreibmaschine als nach moderner Tastatur aus. Die von Azio mit Kaihua entwickelten Switches bieten eine angenehme Taktilität, für Vieltipper ist die Tastatur sehr gut geeignet.

Azio Retro Classic Tastatur - Test Video aufrufen
Padrone angesehen: Eine Mausalternative, die funktioniert
Padrone angesehen
Eine Mausalternative, die funktioniert

CES 2019 Ein Ring soll die Computermaus ersetzen: Am Zeigefinger getragen macht Padrone jede Oberfläche zum Touchpad. Der Prototyp fühlt sich bei der Bedienung überraschend gut an.
Von Tobias Költzsch

  1. Videostreaming Plex will Filme und Serien kostenlos und im Abo anbieten
  2. People Mover Rollende Kisten ohne Fahrer
  3. Solar Cow angesehen Elektrische Kuh gibt Strom statt Milch

Schwerlastverkehr: Oberleitung - aber richtig!
Schwerlastverkehr
Oberleitung - aber richtig!

Der Schwerlast- und Lieferverkehr soll stärker elektrifiziert werden. Dafür sollen kilometerweise Oberleitungen entstehen. Dass Geld auf diese Weise in LKW statt in die Bahn zu stecken, ist aber völlig irrsinnig!
Ein IMHO von Sebastian Grüner

  1. Softwarefehler Lime-Tretroller werfen Fahrer ab
  2. Hyundai Das Elektroauto soll automatisiert parken und laden
  3. Kalifornien Ab 2029 müssen Stadtbusse elektrisch fahren

CES 2019: Die Messe der unnützen Gaming-Hardware
CES 2019
Die Messe der unnützen Gaming-Hardware

CES 2019 Wer wollte schon immer dauerhaft auf einem kleinen 17-Zoll-Bildschirm spielen oder ein mehrere Kilogramm schweres Tablet mit sich herumtragen? Niemand! Das ficht die Hersteller aber nicht an - im Gegenteil, sie denken sich immer mehr Obskuritäten aus.
Ein IMHO von Oliver Nickel

  1. Slighter im Hands on Wenn das Feuerzeug smarter als der Raucher ist
  2. Sonos Keine Parallelnutzung von Alexa und Google Assistant geplant
  3. Hypersense-Prototypen ausprobiert Razers Rumpel-Peripherie sorgt für Immersion

    •  /