GnuPG: Mail-Clients lassen manipulierte Nachrichten durch
Mehrere E-Mail-Clients arbeiten nicht richtig mit der Schnittstelle des Open-Source-Verschlüsselungsprogramms GnuPG zusammen, sodass sich Texte in eine signierte Mail nachträglich einfügen lassen, ohne dass es beim Anzeigen im Client eine Warnung gibt.
- Daniel Bachfeld
Sicherheitsfunktionen nützen wenig, wenn sie falsch benutzt werden. Ein derartiges Problem hat der Sicherheitsdienstleister Core Security gemeldet: Mehrere E-Mail-Clients rufen das Open-Source-Verschlüsselungsprogramm GnuPG nicht richtig auf, sodass sich Texte in eine signierte Mail nachträglich einfügen lassen, ohne dass es beim Anzeigen im Client eine Warnung gibt. Ein Anwender kann auf den ersten Blick nicht feststellen, welcher Teil einer Mail signiert ist und welcher nicht. Angreifer könnten dies ausnutzen, um einem Opfer gefälschte Texte unterzuschieben. Sofern die Signatur in einer separaten Datei abgelegt (detached) ist, ist eine Manipulation allerdings nicht möglich.
Die Ursache des Problems liegt in der vereinfachten Abfrage der von GnuPG gelieferten Informationen zu Signaturen. Um erweiterte Informationen zu erhalten, müsste der Mail-Client GnuPG mit der Option --status-fd aufrufen. Leider unterlassen viele Clients diese genauere Prüfung. Dazu gehören Enigmail, KMail, Evolution, Sylpheed, Mutt und GNUMail. Ganz neu ist dieses Problem nicht; schon im Februar 2006 ließ GnuPG unter Umständen ungültige Signaturen durchrutschten, wenn die Option --status-fd nicht benutzt wurde. Einen Monat später wurde bekannt, dass GnuPG, wie im vorliegenden Fall, eingefügte unsignierte Daten nicht immer erkannte.
Core Security hat die Hersteller der genannten Clients über das Problem informiert, einige haben auch bereits reagiert und arbeiten an Patches. Auch die Entwickler von GnuPG haben an einer Lösung gearbeitet, um das Problem der fehlenden oder falschen Option endgültig aus der Welt zu schaffen. Laut des Fehlerberichts von Werner Koch sollen mit GnuPG 1.4.7 und 2.0.3 auch fehlerhafte Mail-Clients eine ungültige Signatur oder eingefügte Texte erkennen können. Patches für die GPME-Versionen 1.1.3, 1.1.2 und GnuPG 1.4.6 stehen ebenfalls bereit.
Siehe dazu auch:
- Multiple Messages Problem in GnuPG and GPGME, Fehlerbericht von GnuPG
- GnuPG and GnuPG clients unsigned data injection vulnerability, Fehlerbericht von Core Security
(dab)