E-Mail-Add-on
Lücke in Firefox macht Mailvelope unsicher
von
dpa - 19.05.2017
Foto: jiunn / Shutterstock.com
Eine Sicherheitslücke in der Add-on-Verwaltung des Firefox-Browsers hat ungeahnte Auswirkungen. Mit Hilfe manipulierter Zusatzprogramme könnten Angreifer sensible Daten wie die persönlichen PGP-Schlüssel aus dem Add-on Mailvelope ausspähen.
Der E-Mail-Anbieter Posteo warnt vor dem Einsatz des Add-ons Mailvelope im Firefox-Browser. Das Zusatzprogramm erlaubt den Versand von mit PGP verschlüsselten E-Mails in Webmail-Diensten.
Die Add-ons von Firefox sind zwar praktisch, können manchmal aber auch zum Sicherheitsrisiko werden. Laut dem E-Mail-Anbieter Posteo ist dies bei "Mailvelope" der Fall.
(Quelle: Inga Kjer/dpa-tmn/dpa)
Dem Audit nach grenzt die Sicherheitsarchitektur des Firefox Add-ons nicht genug voneinander ab. Mit Hilfe manipulierter anderer Add-ons könnten Dritte dann aus Mailvelope etwa den persönlichen PGP-Schlüssel eines Nutzer auslesen und folglich die Verschlüsselung der Mails brechen. Die Schwachstelle in der Add-on-Handhabung des Browsers ist schon länger bekannt, ihre Auswirkungen auf Mailvelope wurden erst durch die Sicherheitsüberprüfung sichtbar. Mailvelope-Entwickler Thomas Oberndörfer bestätigt den Posteo-Bericht auf Anfrage. Da es sich um eine Schwachstelle im Browser handele, könne er Mailvelope für Firefox aktuell nicht absichern.
Der Ratschlag für Mailvelope-Nutzer: Bis auf weiteres Mailvelope nicht mehr mit Firefox nutzen. Das Programm gibt es auch für Googles Chrome-Browser. Auch die Verwendung lokaler PGP-Alternativen wie etwa Enigmail in Verbindung mit Mozillas Thunderbird senken das Risiko. Eine weitere Lösung ist das Einrichten eines neuen Firefoxprofils, in dem nur Mailvelope als einziges Add-on installiert ist. Dieses Profil wird dann ausschließlich für den Aufruf des Webmail-Dienstes benutzt.
Bis zur Fertigstellung von Firefox 57 im November will Entwickler Mozilla die Lücke geschlossen haben. Auch eine Mailvelope-Version für die neue Sicherheitsarchitektur ist in Arbeit.