Sicherheitswarnung für Nutzer von Mailvelope mit Firefox
Erstellt am 04.Mai 2017, 09:30 Uhr | Kategorie: Blog
Liebe Mailvelope-Nutzerinnen und -Nutzer,
wir wenden uns mit einem Sicherheitshinweis an alle, die das Verschlüsselungs-Add-on Mailvelope unter Firefox nutzen.
Wir haben ein aktuelles Sicherheits-Audit von Mailvelope durchführen lassen. Hierbei wurde eine kritische Schwachstelle im Zusammenspiel zwischen dem Browser Firefox und Mailvelope gefunden. Die Sicherheits-Architektur von Firefox lässt es unter bestimmten Umständen zu, dass Angreifer mit Hilfe kompromittierter Add-ons an den privaten Schlüssel des Nutzers gelangen können. Wir bitten alle Mailvelope-Nutzer mit Firefox deshalb, unsere Sicherheits-Empfehlungen weiter unten in diesem Beitrag aufmerksam zu lesen.
Betroffen sind auch Mailvelope-Nutzer bei allen anderen Anbietern wie z.B. Gmail, GMX, web.de sowie De-Mail.
Die Firefox-Architektur schottet Add-ons nicht genügend gegeneinander ab. Dies ist bereits seit Jahren bekannt. Dass sogar private Schlüssel eines Mailvelope-Nutzers bei gezielten Angriffen in Firefox kompromittiert werden können, war bisher aber nicht belegt. Die von uns beauftragten Sicherheits-Ingenieure von Cure53 konnten dies nun nachweisen. Cure53 hatte Mailvelope in der Vergangenheit bereits unter Chrome auditiert: In unserem Auftrag haben die Ingenieure das Plugin nun erstmals auch im Zusammenspiel mit Firefox untersucht. Im Untersuchungsbericht kommen sie zu dem Schluss, dass Firefox derzeit keine geeignete Umgebung für Mailvelope darstellt. Sie schreiben:
“Letztendlich kann das Cure53-Team das Verwenden von Mailvelope unter Firefox nicht guten Gewissens empfehlen.”
Schwachstelle bis voraussichtlich November 2017
Wir haben den Entwickler von Mailvelope, Thomas Oberndörfer, nach dem Sicherheits-Audit informiert. Die Schwachstelle kann er jedoch nicht schliessen, da sie durch die Architektur von Firefox bedingt ist. Bei Firefox wird bereits seit einiger Zeit eine neue Architektur entwickelt. Mozilla plant, die Arbeiten bis November 2017 mit der Freigabe von Firefox 57 abzuschliessen. Auch Thomas Oberndörfer arbeitet schon an einer Mailvelope-Version für die neue, verbesserte Firefox-Architektur. Für seine Entwicklung danken wir Ihm.
Bis Mozilla die Architektur angepasst hat, gelten folgende Sicherheits-Empfehlungen:
Option 1: Weichen Sie übergangsweise auf eine andere Software-Lösung aus: Nutzen Sie Mailvelope entweder in einem anderen Browser oder verwenden Sie PGP mit einem lokalen E-Mail-Programm. In der Posteo-Hilfe finden Sie hierzu verschiedene Anleitungen.
Option 2: Alternativ minimiert übergangsweise ein eigenes Firefox-Profil für Mailvelope das Risiko. Wir haben in der Posteo-Hilfe Schritt-für Schritt-Anleitungen für das Anlegen von Firefox-Profilen veröffentlicht: Anleitung für Mac Anleitung für Windows. Mailvelope-Nutzer anderer E-Mail-Provider können ebenfalls nach diesen Anleitungen vorgehen. Beachten Sie bitte unbedingt folgende Sicherheits-Empfehlungen, um das Risiko eines erfolgreichen Angriffs tatsächlich zu minimieren:
- Installieren Sie auf dem neu angelegten Browser-Profil keine weiteren Add-ons.
- Nutzen Sie das Firefox-Profil ausschliesslich für Ihre verschlüsselte Mailvelope-Kommunikation: Rufen Sie lediglich den Webmailer Ihres E-Mail-Anbieters auf und besuchen mit diesem Profil niemals andere Websites.
- Wählen Sie außerdem ein möglichst sicheres Passwort für Ihren PGP-Schlüssel.
- Achten Sie darauf, nicht versehentlich durch Phishing weitere Add-ons zu installieren, über die Sie angegriffen werden könnten.
Aufgrund der Probleme in der Firefox-Architektur raten wir außerdem:
- Beschränken Sie das Verwenden von Add-ons in Ihrem Firefox-Browser auf ein Minimum, bis Mozilla die Architektur angepasst hat.
- Wer für seine Ende-zu-Ende-verschlüsselte Kommunikation einen getrennten, zusätzlichen Benutzer auf seinem Betriebssystem einrichtet, schirmt sich noch weiter vor potentiellen Angreifern ab.
Hier aus Transparenzgründen noch einmal die (übersetzten) Empfehlungen aus dem Cure53-Prüfbericht:
“Nutzern, die auf Mailvelope zum Ver- und Entschlüsseln hochsensibler Daten vertrauen, können zwei Wege empfohlen werden. Erstens können sie Mailvelope in einem Browser-Profil nutzen, in dem ausschliesslich und exklusiv Mailvelope ohne andere Erweiterungen installiert ist. Zweitens müssten sie auf eine andere Software-Lösung vertrauen, zum Beispiel auf Thunderbird mit Enigmail.”
“Aktuell wird jedem Nutzer von Mailvelope unter Firefox empfohlen, seine Mailvelope-Einstellungen zu exportieren, Mailvelope aus Firefox zu löschen und die Mailvelope-Einstellungen in eine Mailvelope-Installation unter Google Chrome umzuziehen. Alternativ kann Mailvelope in einem separaten Browserprofil benutzt werden, um das Risiko des Diebstahls von Schlüsselmaterial zu miniminieren – allerdings darf dann kein anderes Add-on in diesem Profil installiert sein.”
Von Posteo beauftragte Sicherheits-Ingenieure fanden Schwachstelle
Unsere Kunden verwenden im Alltag verschiedene Geräte, Browser und Add-ons in ihren lokalen Umgebungen. Die Kommunikations-Sicherheit unserer Kunden ist uns sehr wichtig: Deshalb lassen wir auch externe Standard-Komponenten kontinuierlich auf Schwachstellen überprüfen. Hierfür arbeiten wir u.a. mit den unabhängigen IT-Sicherheitsexperten von Cure53 zusammen. Bei Mailvelope unter Firefox sind sie nun fündig geworden.
Dr. Mario Heiderich (Cure53) erklärt hierzu:
“Das Problem liegt aktuell in der Architektur. Daher gibt es keinen einfachen Fix. Mozilla weiß das, muss aber auch den schweren Spagat zwischen radikalen Änderungen sowie besonnenen und daher oft träge wirkenden Entscheidungen halten. Aber es geht in die richtige Richtung, das ist bei komplexer Software schon mal etwas durchaus Positives.”
Thomas Oberndörfer (Mailvelope) sagt:
“Mailvelope ist natürlich von der Sicherheit der zugrundeliegenden Browser Plattform abhängig. Schwächen im Add-on System von Firefox sind schon länger bekannt, umso mehr ist es zu begrüßen, dass Mozilla hier jetzt nachbessert. Security Audits wie das von Posteo durchgeführte sind für uns ein wichtiger Indikator, um zu sehen, wie wir Mailvelope weiter verbessern können.”
Prüfbericht wird nach Schließen der Schwachstelle veröffentlicht
Die oben geschilderte Schwachstelle wird durch Mozilla voraussichtlich erst im November 2017 geschlossen. Aus Sicherheitserwägungen werden wir den Prüfbericht deshalb erst zu einem späteren Zeitpunkt veröffentlichen. In ihm wird der Angriff, der zum Erfolg führen kann, detailliert beschrieben. Mailvelope sowie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) liegt der Bericht bereits vor.
Das Sicherheits-Audit hat auch positive Ergebnisse zu Mailvelope erbracht, die wir an dieser Stelle erwähnen möchten: Es wurde geprüft, ob E-Mail-Provider, für die Mailvelope genutzt wird, auf den im Browser gespeicherten privaten Schlüssel der Mailvelope-Nutzer zugreifen können: Dies war nicht möglich. Alle anderen Versuche der Sicherheits-Ingenieure, als Betreiber von Dritt-Webseiten oder Man-in-the-Middle-Angreifer auf die in Mailvelope gespeicherten privaten Schlüssel zuzugreifen, waren ebenfalls nicht erfolgreich.
Schwachstelle zeigt: Opensource erhöht die Sicherheit
Wir unterstützen aus Sicherheitsgründen ausschliesslich OpenSource-Komponenten mit transparentem Code – wie das Verschlüsselungs-Plugin Mailvelope. Unserer Ansicht nach ist transparenter Code essentiell für die Sicherheit und die demokratische Kontrolle im Internet: Unabhängige Experten können durch eine Code-Analyse jederzeit Schwachstellen oder Backdoors identifizieren. Wie im aktuellen Fall. Es muss nicht auf die Sicherheits-Aussagen eines Providers oder Entwicklers vertraut werden. Mit den von uns beauftragten Sicherheits-Audits wollen wir dazu beitragen, die Sicherheit gängiger OpenSource-Komponenten und echter Ende-zu-Ende-Verschlüsselung weiter zu erhöhen.
Viele Grüße
Ihr Posteo-Team