Efail: Empfohlener Workaround für Apple Mail und PGP schützt offenbar nicht

Apples E-Mail-Client mit GPG Suite kann verschlüsselte Mails einem Bericht zufolge weiterhin preisgeben, auch wenn der Nutzer das Laden entfernter Inhalte deaktiviert hat. Die Anzeige von HTML-Mails lässt sich in Apple Mail nicht komplett abschalten.

In Pocket speichern vorlesen Druckansicht 38 Kommentare lesen
Apple Mail
Lesezeit: 3 Min.
Von
  • Leo Becker

Die verschlüsselte Kommunikation mit Apple Mail und PGP lässt sich derzeit offenbar nicht zuverlässig absichern. Der von dem Open-Source-Projekt GPG Tools empfohlene Workaround schützt nicht umfassend vor den Efail-Schwachstellen, wie The Intercept berichtet: Ein Angreifer sei weiterhin in der Lage, PGP-verschlüsselte Mails derart zu manipulieren, dass diese den Inhalt im Klartext an einen Server übermitteln – auch wenn der Nutzer wie empfohlen das Laden entfernter Inhalte in den Einstellungen von Apple Mail deaktiviert hat.

Er habe zwei simple Exploits entwickelt, für die die aktuelle Version von Apple Mail mit installierter GPG Suite trotz des Workarounds anfällig sind, betont der Verschlüsselungsaktivist Micah Lee. Das Anzeigen von HTML-Mails generell abzuschalten, sieht Apple Mail nicht vor.

Das Deaktivieren von "Entfernte Inhalte in Nachrichten laden" schützt offenbar nicht gegen Efail.

Die einzige zusätzliche Hürde sei, dass der Angreifer das Opfer dazu bringen müsse, einen Link in der E-Mail anzuklicken, merkt Lee an. Er habe die GPGTools-Entwickler über die Schwachstelle informiert und hoffe, dass diese mit dem nächsten Update beseitigt wird.

GPGTools hat nach der Veröffentlichung von Details rund um die Efail-Schwachstellen Mitte Mai ein baldiges Update für GPG Suite angekündigt, das bislang aber noch nicht veröffentlicht wurde. Apple hat sich bislang weder zu Efail geäußert noch den hauseigenen auf jedem Mac, iPhone und iPad vorinstallierten E-Mail-Client aktualisiert.

Lee verweist Mac-Nutzer, die weiterhin Apple Mail und PGP einsetzen, nochmals auf den umstrittenen Ratschlag, GPGMail komplett zu deinstallieren, bis ein Update vorliegt, das die Schwachstellen ausräumt. Bis dahin können Mac-Nutzer auf den E-Mail-Client Thunderbird mit dem Plug-In Enigmail ausweisen und die Anzeige von HTML-Mails abschalten – allerdings gilt auch Thunderbird mit Enigmail vorerst als weiterhin anfällig und es sind Efail-Angriffe denkbar, die ohne HTML auskommen.

[Update 29.05.2018 13:30 Uhr] Apple hat ein Sicherheits-Update für "Mail" für High-Sierra-Nutzer schon mit macOS-Version 10.13.4 ausgeliefert – also noch vor Veröffentlichung der Efail-Schwachstellen. Dies geht aus einem nachträglich hinzugefügten Eintrag zu den Sicherheitsinhalten des Systemupdates hervor. "Ein Angreifer in einer privilegierten Netzwerkposition kann die Inhalte von E-Mails, die mit S/MIME verschlüsselt sind, exfiltrieren", erklärt der Hersteller dort, "das Problem wurde behoben, indem Remote-Ressourcen bei mit S/MIME-verschlüsselten Nachrichten nicht standardmäßig geladen werden, wenn die Nachricht eine ungültige oder fehlende S/MIME-Signatur aufweist".

Mehr zum Thema:

(lbe)