Mailvelope

Update: Mit dem Erscheinen von Mailvelope 2.0 ist Mailvelope auf die neue Sicherheitsarchitektur von Firefox vorbereitet.

Ein uns vorliegendes, vom E-Mailanbieter Posteo beauftragtes und von Cure53 durchgeführtes Sicherheits-Auditing hat ergeben, dass die Sicherheitsarchitektur von Firefox derzeit keine ausreichend sichere Umgebung für die Mailvelope Browsererweiterung bieten kann.

Wie bereits seit längerem bekannt, schottet die Firefox-Architektur Add-ons nicht genügend voneinander ab. Dass im Extremfall sogar private Schlüssel eines Mailvelope-Nutzers durch einen gezielten Angriffen in Firefox kompromittiert werden können, war bisher jedoch nicht belegt worden. Cure53 konnte jetzt nachweisen, dass so ein Angriff möglich ist: der Nutzer muss entweder dazu gebracht werden ein schadhaftes Add-on zu installieren oder dem Angreifer gelingt es ein bereits installiertes Add-on zu übernehmen.

Mailvelope ist naturgemäß von der Sicherheit der zugrundeliegenden Browser Plattform abhängig. In dem hier aufgezeigten Fall können wir selbst keine Korrektur anbieten. Allerdings arbeitet Mozilla bereits an einer grundlegenden Verbesserung des Add-on Systems. Im November 2017 wird Firefox endgültig auf eine überarbeitete Add-on Architektur umsteigen, die dann ausreichenden Schutz für die gezeigten Angriffe bieten wird.

Eine Mailvelope-Version für die neue, verbesserte Firefox-Architektur ist bereits in Entwicklung.

Bis Mozilla die Architektur angepasst hat, gelten folgende Sicherheits-Empfehlungen:

  • Verwenden Sie ein eigenes Firefox-Profil für Mailvelope in dem Sie keine weiteren Add-ons installieren.
  • Wählen Sie außerdem ein möglichst sicheres Passwort für Ihren PGP-Schlüssel.
  • Achten Sie darauf, nicht versehentlich weitere Add-ons in diesem Profil zu installieren, über die Sie angegriffen werden könnten.

Das Sicherheits-Audit brachte aber auch positive Ergebnisse zu Mailvelope. Posteo schreibt hierzu:

Es wurde geprüft, ob E-Mail-Provider, für die Mailvelope genutzt wird, auf den im Browser gespeicherten privaten Schlüssel der Mailvelope-Nutzer zugreifen können: Dies war nicht möglich. Alle anderen Versuche der Sicherheits-Ingenieure, als Betreiber von Dritt-Webseiten oder Man-in-the-Middle-Angreifer auf die in Mailvelope gespeicherten privaten Schlüssel zuzugreifen, waren ebenfalls nicht erfolgreich.

Security Audits wie das von Posteo durchgeführte sind für uns ein wichtiger Indikator, um zu sehen, wie wir Mailvelope weiter verbessern können. An dieser Stelle, vielen Dank an Posteo für die Durchführung des Audits und dem damit geleisteten Beitrag zum Mailvelope Projekt.