Abo
  • Services:

Verschlüsselung: Audit findet schwerwiegende Sicherheitslücken in Enigmail

Mozillas Secure Open Source Fund und der Berliner E-Mail-Anbieter Posteo haben einen Security-Audit für Thunderbird und die Erweiterung Enigmail in Auftrag gegeben. Dabei sind einige kritische und schwerwiegende Lücken gefunden worden.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin
Die Enigma ist Namenspate für Enigmail.
Die Enigma ist Namenspate für Enigmail. (Bild: Antoine Taveneaux, Wikimedia/CC-BY-SA 3.0)

Seit rund zweit Jahren gibt es das Projekt Mozilla Open Source Support (MOSS), mit dem die gemeinnützige Stiftung freie Software finanziell unterstützen will. Ein wichtiger Teil davon ist das Programm Secure Open Source (SOS), bei dem die Sicherheit wichtiger Projekte überprüft werden soll. Wie bereits zuvor hat Mozilla einen dieser Aufträge an das Berliner Pentest-Unternehmen Cure53 vergeben, das sich nun den E-Mail-Client Thunderbird und das Verschlüsselungsplugin Enigmail näher angesehen und dabei teils schwerwiegende Fehler gefunden hat.

Stellenmarkt
  1. über Dr. Heimeier & Partner, Management- und Personalberatung GmbH, Süddeutschland
  2. Kratzer Automation AG, verschiedene Standorte

Ein erster Bericht der Untersuchung (PDF) erteilt über einige, aber nicht alle der gefundenen Lücken in Enigmail Auskunft. Darunter befindet sich etwa die TBE-01-002 getaufte Lücke, die es ermöglicht, einen Fehler im E-Mail-Parser funcs.jsm von Enigmail auszunutzen. Der soll eigentlich E-Mail-Adressen extrahieren, ist aber bei mehreren kommaseparierten Adressen über einen regulären Ausdruck angreifbar. Kommunizieren nun die in Kryptoerklärungen notorischen Bob und Alice miteinander, kann ein Angreifer Alice vortäuschen, er sei Bob und ihr einen falschen und vom Angreifer kontrollieren Schlüssel unterschieben.

Die Lücke TBE-01-005 ermöglicht es einem Angreifer, verschlüsselte Inhalte in Plaintext zu sehen. Dazu muss er Bobs verschlüsselten Text an Alice abfangen. Dann beginnt er selbst eine Konversation mit Alice und bettet irgendwann in deren Verlauf den verschlüsselten Datenblock unauffällig in den Körper der unverschlüsselten E-Mail ein. Antwortet Alice nun direkt auf die E-Mails von Bob, ohne die Originalnachricht zu löschen, erscheint der Ursprungstext von Bob an Alice unverschlüsselt. Das ist möglich, weil Enigmail teilweise verschlüsselte E-Mail-Bodys erlaubt, in denen nur ein Teil der Nachricht verschlüsselt ist.

TBE-01-021 ist eine weitere kritische Lücke. Dabei fälscht der Angreifer die Absenderadresse seiner E-Mail, so dass Alice glaubt, sie komme von Bob. Zugleich hat er im Vorfeld eine signierte E-Mail von Bob gespeichert und hängt diese nun als Attachment an die E-Mail mit dem Fake-Absender. Da Enigmail die Mail in diesem Fall nicht neu signiert, erscheint sie bei Alice als signierte E-Mail von Bob.

Enigmail wird noch gebraucht

In dem PDF finden sich noch weitere Hinweise auf potenzielle Schwachstellen, die Angreifern das Leben leichter machen. So nutzt Enigmails PEP-Implementierung (Pretty Easy Privacy) einen unsicheren Zufallszahlengenerator, der Javascript-Funktion math.random(). Auch lassen sich weitere reguläre Ausdrücke für potenzielle DoS-Angriffe ausnutzen.

Der Bericht von Cure53 benennt vor allem die gefundenen Lücken in Enigmail. Die Thunderbird-Fehler sind demnach noch nicht alle behoben, eine vollständige Auswertung soll nach Abschluss der Reparaturarbeiten erscheinen. Beim Schließen der vorhandenen Lücken hat neben Mozilla auch der E-Mail-Anbieter Posteo als zweiter Auftraggeber mitgewirkt. Enigmail soll künftig das von Posteo unterstützte Autocrypt-Verfahren implementieren, das E-Mail-Verschlüsselung einfacher machen soll.



Anzeige
Spiele-Angebote
  1. ab 69,99€ mit Vorbesteller-Preisgarantie (Release 26.10.)
  2. 12,99€
  3. 4,99€
  4. 45,99€ (Release 12.10.)

GodFuture 26. Dez 2017

Das Vertrauen in Posteo zahlt sich mehr als aus. Wenn es doch mehr solche aktiven und...

George99 23. Dez 2017

Der Fehler war doch, dass die Implementierung ausschloss, dass ein Buchstabe bei der...


Folgen Sie uns
       


HTC U12 Life - Hands on (Ifa 2018)

HTC hat mit dem U12 Life ein neues Mittelklasse-Smartphone vorgestellt, das besonders durch die gravierte Glasrückseite auffällt. Golem.de konnte sich das Gerät vor dem Marktstart anschauen.

HTC U12 Life - Hands on (Ifa 2018) Video aufrufen
Oldtimer-Rakete: Ein Satellit noch - dann ist Schluss
Oldtimer-Rakete
Ein Satellit noch - dann ist Schluss

Ursprünglich sollte sie Atombomben auf Moskau schießen, dann kam sie in die Raumfahrt. Die Delta-II-Rakete hat am Samstag ihren letzten Flug.
Von Frank Wunderlich-Pfeiffer

  1. Stratolaunch Riesenflugzeug bekommt eigene Raketen
  2. Chang'e 4 China stellt neuen Mondrover vor
  3. Raumfahrt Cubesats sollen unhackbar werden

iPhone Xs, Xs Max und Xr: Wer unterstützt die eSIM in den neuen iPhones?
iPhone Xs, Xs Max und Xr
Wer unterstützt die eSIM in den neuen iPhones?

Apples neue iPhones haben neben dem Nano-SIM-Slot eine eingebaute eSIM, womit der Konzern erstmals eine Dual-SIM-Lösung in seinen Smartphones realisiert. Die Auswahl an Netzanbietern, die eSIMs unterstützen, ist in Deutschland, Österreich und der Schweiz aber eingeschränkt - ein Überblick.
Von Tobias Költzsch

  1. Apple Das iPhone Xr macht's billiger und bunter
  2. Apple iPhones sollen Stiftunterstützung erhalten
  3. XMM 7560 Intel startet Serienfertigung für iPhone-Modem

Logitechs MX Vertical im Test: So teuer muss eine gute vertikale Maus nicht sein
Logitechs MX Vertical im Test
So teuer muss eine gute vertikale Maus nicht sein

Logitech hat mit der MX Vertical erstmals eine vertikale Maus im Sortiment. Damit werden Nutzer angesprochen, die gesundheitliche Probleme bei der Mausnutzung haben - Schmerzen sollen verringert werden. Das Logitech-Modell muss sich an der deutlich günstigeren Alternative von Anker messen lassen.
Ein Test von Ingo Pakalski

  1. Logitech MX Vertical Ergonomisch geformte Maus soll Handgelenke schonen
  2. Razer Mamba Elite Razer legt seine Mamba erneut mit mehr RGB auf
  3. Logitech G305 Günstige Wireless-Maus mit langer Laufzeit für Gamer

    •  /