Abo
  • Services:

Verschlüsselung: Audit findet schwerwiegende Sicherheitslücken in Enigmail

Mozillas Secure Open Source Fund und der Berliner E-Mail-Anbieter Posteo haben einen Security-Audit für Thunderbird und die Erweiterung Enigmail in Auftrag gegeben. Dabei sind einige kritische und schwerwiegende Lücken gefunden worden.

Artikel veröffentlicht am , Kristian Kißling/Linux Magazin
Die Enigma ist Namenspate für Enigmail.
Die Enigma ist Namenspate für Enigmail. (Bild: Antoine Taveneaux, Wikimedia/CC-BY-SA 3.0)

Seit rund zweit Jahren gibt es das Projekt Mozilla Open Source Support (MOSS), mit dem die gemeinnützige Stiftung freie Software finanziell unterstützen will. Ein wichtiger Teil davon ist das Programm Secure Open Source (SOS), bei dem die Sicherheit wichtiger Projekte überprüft werden soll. Wie bereits zuvor hat Mozilla einen dieser Aufträge an das Berliner Pentest-Unternehmen Cure53 vergeben, das sich nun den E-Mail-Client Thunderbird und das Verschlüsselungsplugin Enigmail näher angesehen und dabei teils schwerwiegende Fehler gefunden hat.

Stellenmarkt
  1. Technische Informationsbibliothek (TIB), Hannover
  2. Otto Bihler Maschinenfabrik GmbH & Co.KG, Halblech

Ein erster Bericht der Untersuchung (PDF) erteilt über einige, aber nicht alle der gefundenen Lücken in Enigmail Auskunft. Darunter befindet sich etwa die TBE-01-002 getaufte Lücke, die es ermöglicht, einen Fehler im E-Mail-Parser funcs.jsm von Enigmail auszunutzen. Der soll eigentlich E-Mail-Adressen extrahieren, ist aber bei mehreren kommaseparierten Adressen über einen regulären Ausdruck angreifbar. Kommunizieren nun die in Kryptoerklärungen notorischen Bob und Alice miteinander, kann ein Angreifer Alice vortäuschen, er sei Bob und ihr einen falschen und vom Angreifer kontrollieren Schlüssel unterschieben.

Die Lücke TBE-01-005 ermöglicht es einem Angreifer, verschlüsselte Inhalte in Plaintext zu sehen. Dazu muss er Bobs verschlüsselten Text an Alice abfangen. Dann beginnt er selbst eine Konversation mit Alice und bettet irgendwann in deren Verlauf den verschlüsselten Datenblock unauffällig in den Körper der unverschlüsselten E-Mail ein. Antwortet Alice nun direkt auf die E-Mails von Bob, ohne die Originalnachricht zu löschen, erscheint der Ursprungstext von Bob an Alice unverschlüsselt. Das ist möglich, weil Enigmail teilweise verschlüsselte E-Mail-Bodys erlaubt, in denen nur ein Teil der Nachricht verschlüsselt ist.

TBE-01-021 ist eine weitere kritische Lücke. Dabei fälscht der Angreifer die Absenderadresse seiner E-Mail, so dass Alice glaubt, sie komme von Bob. Zugleich hat er im Vorfeld eine signierte E-Mail von Bob gespeichert und hängt diese nun als Attachment an die E-Mail mit dem Fake-Absender. Da Enigmail die Mail in diesem Fall nicht neu signiert, erscheint sie bei Alice als signierte E-Mail von Bob.

Enigmail wird noch gebraucht

In dem PDF finden sich noch weitere Hinweise auf potenzielle Schwachstellen, die Angreifern das Leben leichter machen. So nutzt Enigmails PEP-Implementierung (Pretty Easy Privacy) einen unsicheren Zufallszahlengenerator, der Javascript-Funktion math.random(). Auch lassen sich weitere reguläre Ausdrücke für potenzielle DoS-Angriffe ausnutzen.

Der Bericht von Cure53 benennt vor allem die gefundenen Lücken in Enigmail. Die Thunderbird-Fehler sind demnach noch nicht alle behoben, eine vollständige Auswertung soll nach Abschluss der Reparaturarbeiten erscheinen. Beim Schließen der vorhandenen Lücken hat neben Mozilla auch der E-Mail-Anbieter Posteo als zweiter Auftraggeber mitgewirkt. Enigmail soll künftig das von Posteo unterstützte Autocrypt-Verfahren implementieren, das E-Mail-Verschlüsselung einfacher machen soll.



Anzeige
Blu-ray-Angebote
  1. (2 Monate Sky Ticket für nur 4,99€)
  2. 4,25€

GodFuture 26. Dez 2017

Das Vertrauen in Posteo zahlt sich mehr als aus. Wenn es doch mehr solche aktiven und...

George99 23. Dez 2017

Der Fehler war doch, dass die Implementierung ausschloss, dass ein Buchstabe bei der...


Folgen Sie uns
       


Vampyr - Fazit

Vampyr überzeugt uns relativ schnell im Test. Nach einer Weile flacht die Blutsaugerei aber wegen langweiliger Gespräche und Probleme mit der Kameraführung ab.

Vampyr - Fazit Video aufrufen
Krankenversicherung: Der Papierkrieg geht weiter
Krankenversicherung
Der Papierkrieg geht weiter

Die Krankenversicherung der Zukunft wird digital und direkt, aber eine tiefgreifende Disruption des Gesundheitswesens à la Amazon wird in Deutschland wohl ausbleiben. Die Beharrungskräfte sind zu groß.
Eine Analyse von Daniel Fallenstein

  1. Imagen Tech KI-System Osteodetect erkennt Knochenbrüche
  2. Medizintechnik Implantat wird per Ultraschall programmiert
  3. Telemedizin Neue Patienten für die Onlinepraxis

Raumfahrt: Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa
Raumfahrt
Boeing und SpaceX kämpfen mit dem Regulierungschaos der Nasa

Die neuen Raumschiffe von Boeing und SpaceX verspäten sich und werden wohl erst 2020 mit Crew fliegen. Die Aufsichtsbehörde der US-Regierung sieht einen Teil der Schuld beim Chaos im Nasa-Management.
Von Frank Wunderlich-Pfeiffer

  1. Nasa-Teleskop Überambitioniert, überteuert und in dieser Form überflüssig
  2. Nasa Forscher entdecken Asteroiden, bevor er die Erde erreicht
  3. Nasa 2020 soll ein Helikopter zum Mars fliegen

Automatisiertes Fahren: Der schwierige Weg in den selbstfahrenden Stau
Automatisiertes Fahren
Der schwierige Weg in den selbstfahrenden Stau

Der Staupilot im neuen Audi A8 soll der erste Schritt auf dem Weg zum hochautomatisierten Fahren sein. Doch die Verhandlungen darüber, was solche Autos können müssen, sind sehr kompliziert. Und die Tests stellen Audi vor große Herausforderungen.
Ein Bericht von Friedhelm Greis

  1. Nach tödlichem Unfall Uber entlässt 100 Testfahrer für autonome Autos
  2. Autonomes Fahren Daimler und Bosch testen fahrerlose Flotte im Silicon Valley
  3. Kooperationen vereinbart Deutschland setzt beim Auto der Zukunft auf China

    •  /