Offenbar lässt sich derzeit die verschlüsselte Kommunikation mit Apple Mail und PGP nicht zuverlässig absichern. Wie The Intercept berichtet, schützt der von dem Open-Source-Projekt GPG Tools empfohlene Workaround nicht umfassend vor den Efail-Schwachstellen. Auch wenn der Nutzer wie empfohlen das Laden entfernter Inhalte in den Einstellungen von Apple Mail deaktiviert hat, sei ein Angreifer weiterhin in der Lage, PGP-verschlüsselte E-Mails zu manipulieren, die dann den Inhalt im Klartext an einen Server übermitteln.

Nach der Veröffentlichung von Details rund um die Efail-Schwachstellen Mitte Mai hat GPGTools ein baldiges Update für GPG Suite angekündigt, wurde allerdings noch nicht veröffentlicht. Apple hat seinen E-Mail-Client, der auf jedem Mac, iPhone und iPad vorinstalliert ist, noch nicht aktualisiert.

Der Verschlüsselungsaktivist Micah Lee empfiehlt Mac-Nutzern, GPGMail komplett zu deinstallieren, bis ein Update vorliegt, welches die Schwachstellen beseitigt. Solange können Nutzer den E-Mail-Client Thunderbird mit dem Plug-In Enigmail verwenden und die Anzeige von HTML-Mails abschalten. Efail-Angriffe sind allerdings auch beim Thunderbird mit Enigmail denkbar, die ohne HTML auskommen.

(ts, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE