Onderzoekers van de Ruhr-Universiteit Bochum hebben binnen verschillende e-mailprogramma's kwetsbaarheden in de implementatie van de encryptiestandaarden S/MIME en OpenPGP ontdekt, waardoor het mogelijk is om de inhoud van een gesigneerde e-mail aan te passen zonder dat dit bij de controle wordt opgemerkt. E-mailhandtekeningen moeten juist voorkomen dat de inhoud ongezien wordt aangepast.
Het probleem speelt bij de verificatie van de e-mailhandtekening en niet het maken ervan, zo meldt het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken. Om de aanval uit te voeren maakten de onderzoekers gebruik van eerder gesigneerde e-mails, injectie-aanvallen, fouten in de implementatie van OpenPGP en S/MIME en het manipuleren van headers.
Wanneer HTML/CSS in de e-mailclient staat ingeschakeld is het mogelijk om de controle van de e-mailhandtekening te manipuleren, aldus het BSI. Daardoor krijgt de gebruiker te zien dat het bericht over een geldige handtekening beschikt, terwijl de inhoud door een aanvaller is aangepast. De Duitse overheidsinstantie was sinds maart van dit jaar betrokken bij het coördineren van de kwetsbaarheden met de verschillende e-mailclientontwikkelaars. Inmiddels zijn er voor de verschillende e-mailclients updates uitgekomen.
Volgens het BSI kunnen OpenPGP en S/MIME dan ook gewoon worden gebruikt mits de e-mailclient up-to-date is en het laden van actieve content in het e-mailprogramma is uitgeschakeld. Het gaat dan om het uitvoeren van HTML-code en het laden van externe content. Verdere technische details over de beveiligingslekken en kwetsbare e-mailclients zijn niet door het BSI gegeven.
Deze posting is gelocked. Reageren is niet meer mogelijk.