Kritische Schwachstelle: Posteo warnt vor Firefox-Add-on Mailvelope
Das Add-on Mailvelope verschlüsselt E-Mails – und weist unter Firefox eine kritische Schwachstelle auf. Angreifer können sogar an die privaten PGP-Schlüssel der Nutzer gelangen, warnt der Mail-Dienst Posteo.
Das Verschlüsselungs-Add-on Mailvelope weist unter Firefox eine kritische Schwachstelle auf: Angreifer können mit Hilfe kompromittierter Add-ons an die privaten Schlüssel der Nutzer gelangen, warnt Posteo. Der Mail-Dienst hatte ein Sicherheits-Audit in Auftrag gegeben, wobei die kritische Lücke ans Licht kam. Betroffen sind alle Firefox-Nutzer, die Mailvelope bei Webmail-Diensten verwenden – außer Posteo-Kunden müssen also auch GMX- oder Gmail-Nutzer aufpassen. Mailvelope ermöglicht die Verschlüsselung von E-Mails mit OpenPGP bei Webmail-Anbietern.
Schwäche in der Firefox-Architektur
Schwachstelle sei die Sicherheits-Architektur des Firefox-Browsers: Sie schottet Add-ons nicht ausreichend voneinander ab, was seit Jahren bekannt sei, schreibt Posteo. Die vom Mail-Anbieter beauftragten Sicherheitsexperten von Cure 53 konnten nun erstmals nachweisen, dass auch private Schlüssel von Mailvelope durch gezielte Angriffe kompromittiert werden können – dies sei vorher nicht belegt gewesen. Cure 53 könne daher "Mailvelope unter Firefox nicht guten Gewissens empfehlen".
Keine kurzfristige Lösung möglich
Posteo will den Prüfbericht, der den Angriff genau beschreibt, erst zu einem späteren Zeitpunkt veröffentlichen. Der Bericht liegt aber dem Mailvelope-Entwickler sowie dem Bundesamt für Sicherheit in der Informationstechnik (BSI) vor. Mit einer kurzfristigen Behebung der Sicherheitslücke ist nicht zu rechnen, da die Schwachstelle durch die Architektur von Firefox bedingt sei. Es gebe daher "keinen einfachen Fix", erklärt Dr. Mario Heiderich von Cure 53. Mozilla arbeitet bereits an einer neuen Architektur, die allerdings erst im November mit Firefox 57 fertig sein soll. Schon jetzt arbeitet Mailvelope-Entwickler Thomas Oberndörfer an einer Version seines Add-ons für die verbesserte Firefox-Architektur.
Was Mailvelope-Nutzer jetzt tun sollten
Bis die neue Sicherheits-Architektur in Firefox implementiert ist, empfehlen Posteo und Cure53 ein Ausweichen auf andere Software-Lösungen: "Nutzen Sie Mailvelope entweder in einem anderen Browser oder verwenden Sie PGP mit einem lokalen E-Mail-Programm." Wer auf Firefox partout nicht verzichten möchte, sollte sein eigenes Firefox-Profil minimieren. Zu beiden Möglichkeiten bietet Posteo Hilfestellung und Anleitungen. (dbe)