Bis vor kurzem ließen sich in vielen E-Mail-Programmen digitale Signaturen von Nachrichten mit relativ einfachen Tricks fälschen. Nicht betroffen sind die zugrundeliegenden kryptografischen Verfahren, stattdessen kann ein Angreifer eine solche Software dazu bringen, unsignierte E-Mails fälschlicherweise als signiert und damit als vertrauenswürdig anzeigen lassen. Umsetzungen von S/MIME und PGP sind betroffen. Empfehlungen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) sind, E-Mail-Programme auf dem aktuellen Stand zu halten und das Anzeigen von HTML-Code sowie das Nachladen externer Inhalte zu deaktivieren.

Schwachstellen auf Windows fanden die Forscher in Thunderbird, Outlook mit GpgOL, Windows 10 Mail, Windows Live Mail, The Bat, eM Client und Postbox. Evolution und Trojitá waren unter Linux angreifbar. Auf dem Mac sind Apple Mail mit GPG Suite, MailMate und Airmail betroffen. Android ist mit K-9 Mail über OpenKeychain, R2Mail2 und MailDroid mit Flipdog-Plug-in und mit der App Nine verwundbar. Mail App auf iOS ist ebenfalls angreifbar. Auch die Web-basierten E-Mail-Programme Roundcube (mit Enigma oder rc_smime) und Mailpile (mit GnuPG) lassen sich austricksen. In weiteren E-Mail-Programmen sind kleinere Bugs, über die sich die Signaturprüfung wenigstens zum Teil manipulieren lässt.

Die Forscher haben laut BSI die Entwickler der entsprechenden Software im Vorfeld ihrer Veröffentlichung informiert und es wurden Sicherheitsupdates verteilt, welche die beschriebenen Probleme beheben sollen. Ihre E-Mail-Programme auf dem neuesten Stand zu halten und entsprechende Updates zeitnah einzuspielen, empfiehlt die Behörde allen Anwendern.

(hv, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE