Anzeige

E-Mail

Wer jemandem von einer Webseite aus eine E-Mail schicken möchte, kann dies häufig direkt mit einem Klick auf die dort veröffentlichte E-Mail-Adresse – schon öffnet sich im E-Mail-Programm automatisch das Nachrichtenfenster an den gewünschten Empfänger.

Prof. Dr. Sebastian Schinzel und Damian Poddebniak haben für diese sogenannten Mailto-Links nun bei einigen E-Mail-Programmen Sicherheitslücken entdeckt. Hacker könnten dadurch zum Beispiel Zugriff auf verschlüsselte Nachrichten bekommen. Im Interview erläutert Prof. Schinzel das Sicherheitsrisiko.
 

Prof. Schinzel, was ist das Problem mit Mailto-Links und Verschlüsselungen?  

Prof. Dr. Sebastian Schinzel: Gemeinsam mit Wissenschaftlern der Ruhr-Universität Bochum untersuchen wir im Labor für IT-Sicherheit bereits seit 2018 unterschiedliche Sicherheitslücken im Kontext von E-Mail-Verschlüsselungen. Dabei geht es um die Sicherheit der Verschlüsselungstechnologien OpenPGP und S/MIME, wie sie zum Beispiel von Journalisten und politischen Aktivisten, aber auch von Unternehmen und Behörden eingesetzt werden. In unserer neuesten Studie haben wir einen kreativen und zugleich sehr simplen Angriff untersucht. Wir haben gezeigt, wir erschreckend einfach man sich über Mailto-Links den privaten Schlüssel von Absendern zuschicken lassen kann. Mit diesem privaten Schlüssel kann man verschlüsselte OpenPGP- oder S/MIME-Nachrichten entschlüsseln.


Wie genau funktioniert der Angriff?

Prof. Dr. Sebastian Schinzel: Beim Erstellen eines Mailto-Links auf Webseiten können über HTML-Befehle bestimmte Inhalte der E-Mail vorgegeben werden. Neben der E-Mail-Adresse des Empfängers und dem Betreff erzwingen manche E-Mail-Programme, eine vorausgewählte Datei anzuhängen und mitzuschicken. Damit das funktioniert, muss der Hacker den exakten Namen der Datei und ihren Speicherort auf dem Computer eines Absenders kennen. Das ist bei den meisten persönlichen Dateien natürlich schwierig herauszufinden. Der private E-Mail-Schlüssel hingegen hat immer den gleichen Namen und wird üblicherweise über einen Standardpfad auf dem Computer gespeichert.


Fällt es nicht auf, wenn man ungewollt einen Anhang mitschickt?  

Prof. Dr. Sebastian Schinzel: Ein aufmerksamer Absender kann das sehen, aber die meisten Leute achten in der Eile einfach nicht darauf – sie wollen schließlich nur schnell und unkompliziert eine E-Mail verschicken. Die Hersteller von E-Mail-Programmen sind daher in der Pflicht, dieses Problem zu beheben. Vorausgefüllte E-Mail-Adressen und der Betreff sind unproblematisch, aber es sollte gar nicht erst möglich sein, Dateianhänge in Mailto-Links einzubinden. Wir haben die Mailbetreiber vor unserer Veröffentlichung über die Sicherheitslücke informiert, sodass mittlerweile Updates verfügbar sind.

www.fh-muenster.de


Artikel zu diesem Thema

Cyberangriff
Sep 04, 2020

Die Top 5 Phishing-Angriffe in Deutschland

Phishing-Angriffe boomen. Davon ist nicht nur der einzelne Verbraucher betroffen, auch…

Weitere Artikel

Zugangsschlüssel

NFT-Kunst für Jedermann – Zugangsschlüssel in Bildern versteckt

Rocco Indovina möchte, dass hochwertige NFT-Kunst für jedermann erreichbar ist. Wer die letzten Buchstaben bzw. Zahlen des Zugangsschlüssels (Private Key) für einen sogenannten Non-Fungible Token in zwei seiner Bildern zuerst findet, bekommt diese Kunst…
Verkaufen

Verkaufen mithilfe von Smartphone-Apps fasziniert

Jeder dritte Brite zwischen 18 bis 24 Jahren überlegt, seinen Job zu kündigen oder seine Ausbildung abzubrechen, um ausschließlich Waren mithilfe von Smartphone-Apps zu verkaufen.
Ranking

Bundesländer-Ranking: Hamburg ist die Hauptstadt der IT-Profis

Hamburg ist das Bundesland mit der größten Dichte an IT-Spezialistinnen und Spezialisten. Im hanseatischen Stadtstaat arbeiten 4,4 Prozent aller sozialversicherungspflichtig Beschäftigten als Informatiker oder in anderen IT-Berufen.
Partnerschaft

valantic und SYSTEMA schließen strategische Partnerschaft

valantic, IT-Beratungs- und Softwarehaus in Europa, partnert mit SYSTEMA, einem eigentümergeführten Systemintegrator, der sich auf Softwarelösungen und Dienstleistungen zur MES-Integration, Fertigungsautomatisierung und Produktionsoptimierung spezialisiert…
Firmenerweiterung

Okta schließt Übernahme von Auth0 ab

Okta, ein unabhängiger Anbieter von Identitätslösungen, gab die erfolgreiche Übernahme von Auth0, einer Identitätsplattform für Anwendungsteams, bekannt.
Dell

Sicherheitslücke in der Treibersoftware von Dell: Was jetzt zu tun ist

Wie kürzlich bekannt wurde, existiert eine eklatante Sicherheitslücke in einem Treiber für Firmware-Updates, der auf Millionen von Endgeräten der Marke Dell installiert ist. Der Hersteller empfiehlt, diesen Treiber komplett zu entfernen.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.