pEp-Foundation hat Sicherheitslücke in Enigmail/pEp geschlossen

Die pEp-Foundation hat eine schwerwiegende Sicherheitslücke geschlossen, die im sogenannten "Junior-Modus" des Verschlüsselungs-Add-ons Enigmail unter Windows – und nur dort – zutage getreten war. In diesem Modus kommt das Verschlüsselungsverfahren Pretty Easy Privacy (pEp) zum Einsatz, das Mail-Verschlüsselung erleichtern und für jedermann nutzbar machen soll. Es nimmt dem Nutzer sämtliche Einrichtungsschritte ab und nutzt im Hintergrund das etablierte OpenPGP.

Ein Zusammenspiel von Fehlern in der pEp-Software und Enigmail hat nach Aussage der pEp-Foundation dafür gesorgt, dass Enigmail beim Verfassen einer Mail suggerierte, die Verschlüsselung sei aktiv, der Versand in Wahrheit jedoch im Klartext geschah. Ob verschlüsselt wird, erkennt man an einer Statusmeldung am unteren Rand des Mail-Editors. Steht dort "Privatsphärenstatus: Sicher" oder "Sicher & Vertraut", dann sollte eigentlich kein Zweifel daran bestehen dürfen, dass die derzeit verfasste Mail Ende-zu-Ende-verschlüsselt übertragen wird.

c't hatte diesen Fehler bemerkt und die pEp-Foundation darauf hingewiesen. Sie reagierte sofort und lieferte Enigmail seit dem 03.10. eine ältere Software-Version zu, die den Fehler nicht enthält. Seit Freitag (12.10.) wird Enigmail nun mit einer fehlerbereinigten neuen Version ausgeliefert. "Benutzer sind dringend gebeten, der Update-Aufforderung von Enigmail zu folgen und die Aktualisierung der pEp-Distribution 1.0.24 einzuspielen", betonte Entwickler Hernâni Marques in einem erklärenden Blog-Beitrag der Foundation.

"Ausreichend getestet"

Das Update habe "länger gedauert als erwartet", und es sei dafür ausreichend getestet worden. Der Fehler sei zwischen dem 26.9. und 03.10. aktiv gewesen. Deshalb seien nur maximal 6000 Nutzer davon betroffen, weil das Problem nur in neuen Installationen auftritt. Soviele Downloads habe Patrick Brunschwig, der Hauptentwickler des Enigmail-Projekts, in der Zeitspanne verzeichnet. Und nur in diesem Zeitraum hat man das fehlerhafte Update unter Windows einspielen können.

Marques betonte, dass Nutzer unter Linux oder macOS von dem Fehler nicht betroffen waren. Produkte des Unternehmens pEp security, also die pEp-Apps für Android, iOS und Outlook, "lassen einen derartigen Fehler auf Grund entsprechender Fehlerbehandlung nicht zu", erklärte er. (hob)