Anzeige

E-Mail

Wer jemandem von einer Webseite aus eine E-Mail schicken möchte, kann dies häufig direkt mit einem Klick auf die dort veröffentlichte E-Mail-Adresse – schon öffnet sich im E-Mail-Programm automatisch das Nachrichtenfenster an den gewünschten Empfänger.

Prof. Dr. Sebastian Schinzel und Damian Poddebniak haben für diese sogenannten Mailto-Links nun bei einigen E-Mail-Programmen Sicherheitslücken entdeckt. Hacker könnten dadurch zum Beispiel Zugriff auf verschlüsselte Nachrichten bekommen. Im Interview erläutert Prof. Schinzel das Sicherheitsrisiko.
 

Prof. Schinzel, was ist das Problem mit Mailto-Links und Verschlüsselungen?  

Prof. Dr. Sebastian Schinzel: Gemeinsam mit Wissenschaftlern der Ruhr-Universität Bochum untersuchen wir im Labor für IT-Sicherheit bereits seit 2018 unterschiedliche Sicherheitslücken im Kontext von E-Mail-Verschlüsselungen. Dabei geht es um die Sicherheit der Verschlüsselungstechnologien OpenPGP und S/MIME, wie sie zum Beispiel von Journalisten und politischen Aktivisten, aber auch von Unternehmen und Behörden eingesetzt werden. In unserer neuesten Studie haben wir einen kreativen und zugleich sehr simplen Angriff untersucht. Wir haben gezeigt, wir erschreckend einfach man sich über Mailto-Links den privaten Schlüssel von Absendern zuschicken lassen kann. Mit diesem privaten Schlüssel kann man verschlüsselte OpenPGP- oder S/MIME-Nachrichten entschlüsseln.


Wie genau funktioniert der Angriff?

Prof. Dr. Sebastian Schinzel: Beim Erstellen eines Mailto-Links auf Webseiten können über HTML-Befehle bestimmte Inhalte der E-Mail vorgegeben werden. Neben der E-Mail-Adresse des Empfängers und dem Betreff erzwingen manche E-Mail-Programme, eine vorausgewählte Datei anzuhängen und mitzuschicken. Damit das funktioniert, muss der Hacker den exakten Namen der Datei und ihren Speicherort auf dem Computer eines Absenders kennen. Das ist bei den meisten persönlichen Dateien natürlich schwierig herauszufinden. Der private E-Mail-Schlüssel hingegen hat immer den gleichen Namen und wird üblicherweise über einen Standardpfad auf dem Computer gespeichert.


Fällt es nicht auf, wenn man ungewollt einen Anhang mitschickt?  

Prof. Dr. Sebastian Schinzel: Ein aufmerksamer Absender kann das sehen, aber die meisten Leute achten in der Eile einfach nicht darauf – sie wollen schließlich nur schnell und unkompliziert eine E-Mail verschicken. Die Hersteller von E-Mail-Programmen sind daher in der Pflicht, dieses Problem zu beheben. Vorausgefüllte E-Mail-Adressen und der Betreff sind unproblematisch, aber es sollte gar nicht erst möglich sein, Dateianhänge in Mailto-Links einzubinden. Wir haben die Mailbetreiber vor unserer Veröffentlichung über die Sicherheitslücke informiert, sodass mittlerweile Updates verfügbar sind.

www.fh-muenster.de


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Artikel zu diesem Thema

Cyberangriff
Sep 04, 2020

Die Top 5 Phishing-Angriffe in Deutschland

Phishing-Angriffe boomen. Davon ist nicht nur der einzelne Verbraucher betroffen, auch…

Weitere Artikel

IT-Job

Unternehmen können offene IT-Stellen nur schwer besetzen

Unternehmen in Deutschland fällt es immer schwerer, offene Stellen für IT-Experten zu besetzen. Mehr als zwei Drittel (69 Prozent) der Firmen berichteten von Schwierigkeiten, IT-Fachkräfte einzustellen, teilte das Statistische Bundesamt am Montag in Wiesbaden…
Konflikt Unternehmen

Konflikt zwischen United Internet und Telefónica eskaliert

Der Streit über die Kosten zur Nutzung des Mobilfunknetzes von Telefónica Deutschland (O2) durch den Konkurrenten 1&1 Drillisch verschärft sich. 1&1 und dessen Mutterkonzern United Internet werfen der Tochter des spanischen Konzerns Telefónica vor, die Kosten…
WeChat

Richterin stoppt Vorgehen der US-Regierung gegen WeChat

Die chinesische Kommunikations-App WeChat wird vorerst für amerikanische Nutzer verfügbar bleiben. Eine Richterin in Kalifornien setzte die Sanktionen der US-Regierung am Sonntag mit einer einstweiligen Verfügung aus.
TikTok- Trump

Trump billigt Tiktok-Deal - Neue Firma in Texas

Die Zukunft der Video-App Tiktok in den USA scheint gesichert, nachdem Präsident Donald Trump einen Deal zwischen dem chinesischen Eigentümer Bytedance und US-Unternehmen gebilligt hat. Das weltweite Geschäft von Tiktok komme in eine neue Firma mit Sitz in…
Mobilfunk

Deutschlands Firmen setzen immer stärker auf eigene Mobilfunknetze

Die Nachfrage nach eigenen 5G-Mobilfunknetzen kommt unter deutschen Firmen allmählich in Schwung. Inzwischen hätten 74 Unternehmen ein lokales Spektrum zur Eigennutzung bekommen, teilte die Bundesnetzagentur auf Anfrage mit. Das sind deutlich mehr als im…
Cyberkriminalität

Wie der Südwesten gegen Cyberkriminalität vorgeht

Mit der steigenden Mediennutzung verlagert sich ein erheblicher Teil an Straftaten immer weiter in den virtuellen Raum und dafür braucht die Polizei Spezialisten. Das Innenministerium Baden-Württemberg geht davon aus, dass die Straftaten im Bereich Cybercrime…

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!