S/MIME und PGP: E-Mail-Signaturprüfung lässt sich austricksen

Inhaltsverzeichnis

In vielen E-Mail-Programmen ließen sich bis vor kurzem digitale Signaturen von Nachrichten mit relativ einfachen Tricks fälschen. Die zugrundeliegenden kryptografischen Verfahren sind nicht betroffen, stattdessen kann ein Angreifer eine solche Software dazu bringen, unsignierte E-Mails fälschlicherweise als signiert und damit als vertrauenswürdig anzeigen zu lassen. Betroffen sind sowohl Umsetzungen von S/MIME als auch PGP. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt nun, E-Mail-Programme auf dem aktuellen Stand zu halten und das Anzeigen von HTML-Code sowie das Nachladen externer Inhalte zu deaktivieren.

Signaturen von E-Mails, ob dabei nun S/MIME oder PGP zum Einsatz kommen, sollen dem Empfänger sicherstellen, dass die Nachricht auch wirklich vom Absender kommt (Authentizitäts-Prüfung) und nicht auf dem Transportweg manipuliert wurde (Integritäts-Prüfung). Auch ohne Angriff auf die verwendeten kryptografischen Verfahren lässt sich in vielen Fällen die Prüfung durch die E-Mail-Software des Empfängers austricksen, wie Forscher nun herausfanden.

Veröffentlicht wurden die Schwachstellen von einer Gruppe von deutschen Sicherheitsforschern, darunter Mitarbeiter der Universität Bochum und der Fachhochschule Münster. Beteiligt sind auch Sebastian Schinzel – einer der Entdecker der Efail-Lücke – und Security-Journalist und Sicherheitsforscher Hanno Böck. Insgesamt testeten die Forscher 22 E-Mail-Programme auf S/MIME-Schwachstellen und konnten 15 davon erfolgreich angreifen. Von 20 auf PGP-Schwachstellen abgeklopfte Programme gelang es ihnen bei 14 die Signaturprüfung auszutricksen.

Betrug mit Recycling gültiger Signaturen

Die Forscher bedienen sich einer Reihe unterschiedlicher Tricks, um das E-Mail-Programm eines Empfängers dazu zu kriegen, eine unsignierte E-Mail fälschlicherweise als signiert anzuzeigen. Unter anderem machen sie sich dabei zunutze, wie E-Mail-Programme damit umgehen, wenn nur ein Teil einer S/MIME-Nachricht signiert ist oder wenn die Nachricht die Signaturen von mehr als einem Absender enthält. Wie sich herausstellte kann ein Angreifer bei seiner gefälschten E-Mail mit ungültiger Signatur etwa eine zweite Nachricht mit gültiger Signatur mitschicken. Viele Mailprogramme zeigen dann die gefälschte Nachricht an, prüfen aber die Signatur der anderen Nachricht – was dazu führt, dass es für den Empfänger so aussieht als hätte die Nachricht des Angreifers eine gültige Signatur. Für diesen Angriff braucht der Angreifer allerdings eine beliebige signierte Nachricht der Person, in deren Namen er E-Mails fälschen will.

Dieses Problem besteht, weil bei S/MIME der Inhalt einer Nachricht auf zwei Arten in die E-Mail eingefügt werden kann: Direkt im Cryptographic Message Syntax (CMS) als sogenannter eContent oder als separater MIME-Teil. Das erlaubt es dem Angreifer, gleich zwei signierte Nachrichten-Teile einzufügen. Wie sich herausstellt, können viele E-Mail-Programme damit nicht richtig umgehen. Bis vor kurzem, als diese Schwachstelle nach der Veröffentlichung der Forscher mit entsprechenden Updates bereinigt wurde, waren hier unter anderem Apple Mail und Mozilla Thunderbird angreifbar.

Teilweise signierte E-Mails verwirren OpenPGP-Clients

Die Signaturprüfung von GnuPG, die von den meisten E-Mail-Programmen verwendete Umsetzung des OpenPGP-Standards, lässt sich ebenfalls austricksen. So ist es möglich, nur einen Teil einer OpenPGP-Mail zu signieren, was dazu führt, das viele E-Mail-Programme nicht mehr korrekt anzeigen, ob eine Mail als Ganzes eine gültige Signatur enthält. Das lässt sich dazu missbrauchen, eine gefälschte Nachricht durch das Einbetten eines anderweitig signierten Teils als signiert anzeigen zu lassen, obwohl das nicht der Fall ist. Hierzu betteten die Forscher einen MIME-Teil unsichtbar als Iframe ein. Außerdem gelang es ihnen, einen mit PGP inline signierten Nachrichtenteil in einer HTML-Mail zu verstecken.

Diese Technik führt dazu, dass dem Opfer nur der unsignierte Teil der E-Mail angezeigt wird, nicht aber der Teil mit der gültigen Signatur – der zum Beispiel aus einer ganz anderen Nachricht stammt, die in einem komplett anderen Kontext verfasst wurde. Da das E-Mail-Programm aber davon ausgeht, dass die gesamte Mail signiert wurde und das auch so anzeigt, sieht es für den Empfänger so aus, als sei der sichtbare Teil der Nachricht signiert.

MIME-Manipulation, falsche Absender, HTML-Tricksereien

Außerdem dokumentiert das Forscherteam eine Reihe weiterer Angriffe, die zum Teil schon bekannt waren und zeigt auf, dass auch von diesen Angriffen sehr viele beliebte E-Mail-Client-Programme betroffen sind. So bauen sie etwa unkonventionelle MIME-Strukturen, mit denen E-Mail-Programme oft nicht sauber umgehen. Auch hier lässt sich unsignierter Inhalt anzeigen und signierter Inhalt verstecken. So lassen sich E-Mail-Empfänger davon überzeugen, dass ein Nachrichtentext vom angeblichen Absender signiert wurde, obwohl lediglich ihr Mail-Programm die Signatur eines komplett anderen Nachrichtenteils prüft, der ihnen gar nicht angezeigt wird.

Die Forscher schafften es außerdem, E-Mail-Programme so auszutricksen, dass sie die gültige Signatur eines Absenders anzeigen, obwohl die Nachricht in Wirklichkeit vom Angreifer signiert wurde. Das könnte etwa dazu missbraucht werden, einem Mitarbeiter eine E-Mail seines Chefs zu schicken, die so aussieht, als wäre sie vom Vorgesetzten (chef@firma.de) digital signiert worden, wenn sie in Wirklichkeit vom Angreifer (angreifer@hacker.de) signiert wurde. Zusätzlich sind eine Reihe von E-Mail-Programmen über HTML- und CSS-Code in E-Mails angreifbar. Angreifer könnten so Teile ihrer Benutzeroberfläche manipulieren und es für den Empfänger so aussehen lassen, als wäre eine angezeigte E-Mail korrekt signiert, obwohl sie es in Wirklichkeit nicht ist.

Betroffene E-Mail-Programme

Auf Windows fanden die Forscher Schwachstellen in Thunderbird, Outlook mit GpgOL, Windows 10 Mail, Windows Live Mail, The Bat, eM Client und Postbox. Unter Linux waren Evolution und Trojitá angreifbar. Auf dem Mac sind Apple Mail mit GPG Suite, MailMate und Airmail betroffen. Android ist mit K-9 Mail über OpenKeychain, R2Mail2 und MailDroid mit Flipdog-Plug-in und mit der App Nine verwundbar. Mail App auf iOS ist ebenfalls angreifbar. Auch die Web-basierten E-Mail-Programme Roundcube (mit Enigma oder rc_smime) und Mailpile (mit GnuPG) lassen sich austricksen. Weitere E-Mail-Programme enthalten kleinere Bugs, über die sich die Signaturprüfung wenigstens zum Teil manipulieren lässt.

Laut BSI haben die Forscher die Entwickler der entsprechenden Software im Vorfeld ihrer Veröffentlichung informiert und es wurden Sicherheitsupdates verteilt, welche die beschriebenen Probleme beheben sollen. Die Behörde empfiehlt deswegen allen Anwendern, ihre E-Mail-Programme auf dem neuesten Stand zu halten und entsprechende Updates zeitnah einzuspielen, wenn das nicht bereits geschehen ist.

Sichere Krypto-Verfahren allein sind nicht genug

Die Forscher weisen in ihrer wissenschaftlichen Abhandlung zu den Sicherheitslücken darauf hin, dass ihre Arbeit verdeutlicht, dass man sich nicht allein auf intakte Krypto-Verfahren verlassen kann. Selbst wenn die zugrunde liegenden Krypto-Funktionen sicher sind, können Angreifer sich oft andere Schwachstellen der verwendeten Protokolle, deren Implementation oder der Benutzeroberfläche der jeweiligen Software zunutze machen. Sie empfehlen den Verfassern der OpenPGP-, MIME- und S/MIME-Standards, Software-Entwicklern konkrete Implementations-Empfehlungen mit an die Hand zu geben, um solche Schwachstellen in Zukunft zu verhindern. Außerdem geben sie zu Bedenken, dass sie beim Untersuchen der getesteten E-Mail-Programme durch Fuzzing des öfteren unerwartete Abstürze der Software provozieren konnten. Das deutet auf weitere Schwachstellen in den Programmen hin.

Die vorgelegten Forschungsergebnisse zeigen außerdem wieder einmal, wie problematisch HTML-Code und das Einbetten externer Inhalte in E-Mails sind. Eine Einschätzung, die auch das BSI in seiner Warnung zu der Veröffentlichung teilt. Die Behörde empfiehlt demnach für den sicheren Einsatz der erwähnten E-Mail-Programme: "Aktive Inhalte im E-Mailclient müssen deaktiviert werden. Dazu zählt die Ausführung von HTML-Code und das Nachladen externer Inhalte, die oftmals aus Design-Aspekten erlaubt sind." (fab)