iPhone-beveiliging

Beveiligingslek in Apple Mail kan versleutelde e-mail zichtbaar maken

Maar iemand moet wel over jouw berichten beschikken

Onderzoekers hebben een fout gevonden in de HTML-weergave van Apple Mail. Daardoor kunnen versleutelde e-mailberichten toch in platte tekst leesbaar zijn. Het beveiligingslek komt ook voor in Mozilla Thunderbird. Daarnaast zijn er nog veel meer e-mailapps kwetsbaar door een algemeen technisch probleem in de encryptie.

Het gaat hier in feite om twee problemen:

  • De direct exfiltration attack: een beveiligingslek in de Mail-app, dat door Apple opgelost kan worden.
  • De nieuwere CBC/CFB gadget attacks: Een algemener probleem met de PGP-encryptie van e-mail, dat lastiger op te lossen is omdat hiervoor een nieuwe standaard voor e-mailencryptie moet worden bedacht.

Beveiligingslek in Mail-app

De tekst van een Mail-bericht is niet zomaar leesbaar, maar een aanvaller kan wel de platte tekst onttrekken aan een versleuteld e-mailbericht. Het probleem doet zich voor bij Apple Mail op de Mac, de Mail-app in iOS en de Thunderbird-app. Daarbij wordt een methode gebruikt waarbij het antwoord op een mailtje in drie stukken kan worden verstuurd. Een aanvaller verstuurt een gedeeltelijke declaratie van de HTML img-tag, een string met de versleutelde tekst en vervolgens de afsluitende HTML voor de img-tag. Hierbij zal Apple Mail de versleutelde tekst gewoon weergeven. Belangrijk om te weten: een aanvaller moet wel beschikken over jouw versleutelde e-mailberichten. Het is dus niet mogelijk om zomaar wat berichten van een willekeurige persoon te gaan lezen.

De aanvaller hoeft niet te beschikken over de private encryptiesleutel, maar moet wel toegang hebben tot de versleutelde berichten zelf. Je kunt dit oplossen door de HTML-weergave van berichten uit te schakelen. Apple kan het beveiligingslek oplossen met een software-update, maar die is nog niet beschikbaar. Verstuur je veel versleutelde berichten binnen een groep, dan wordt het gevaar alweer wat groter omdat de aanvaller maar toegang hoeft te hebben tot de e-mail van één persoon binnen de groep.

eFail-beveiligingslek

Wat kun je zelf doen?
Maak je geen gebruik van versleutelde e-mailberichten, dan hoef je niets te doen. Je e-mail wordt momenteel toch al onbeveiligd verstuurd en is te onderscheppen. Je bent daarmee niet de enige, want de meeste e-mail wordt nog steeds onversleuteld verstuurd. Wat je wél zou kunnen doen is stoppen met het delen van vertrouwelijke informatie via e-mail, zoals creditcardgegevens en wachtwoorden. Je kunt daarvoor beter berichtendiensten met standaard encryptie gebruiken zoals iMessage of WhatsApp.

Gebruik je regelmatig versleutelde e-mail, dan kun je het onderscheppen van je berichten voorkomen door de volgende instellingen aan te passen:

  1. Open de Mail-app op je Mac.
  2. Ga naar Mail > Voorkeuren > Weergave.
  3. Zet het vinkje uit bij Laad extern materiaal in berichten.

Mail extern materiaal blokkeren

In de Mail-app op iOS doe je het volgende:

  1. Open de Instellingen-app op je iPhone of iPad.
  2. Ga naar Mail.
  3. Zet de schakelaar uit bij Laad afbeeldingen.

Je kunt ook de PGP-sleutels van de Mail-app wissen, zodat de app geen berichten meer kan ontsleutelen, maar dat is wat ingrijpender.

Beveiligingslek in PGP

Eerder vandaag was er ook ophef over een beveiligingslek in PGP, de meestgebruikte methode om e-mail te versleutelen. Dit is echter minder ingrijpend dan aanvankelijk was gedacht. De EFF riep gebruikers op om tijdelijk geen PGP meer te gebruiken, maar dat blijkt wat overdreven. Het gebruik van PGP voor backups is bijvoorbeeld nog steeds veilig en ook het gebruik van platforms zoals Publeaks levert geen risico’s op. Het gaat om zo’n twintig e-mailapps die te maken hebben met een technische fout, waardoor ze niet veilig te gebruiken zijn voor versleutelde e-mail. Ook hierbij moet een aanvaller al toegang hebben tot de versleutelde berichten. Om het onderliggende probleem op te lossen zullen de encryptiestandaarden voor e-mail aangepast moeten worden en dat kost meer werk dan het omzetten van een schuifje. Hoe dan ook: het is niet meteen nodig om PGP aan de kant te zetten, maar als je de komende tijd een geheim wilt versturen kun je dat het beste via een versleutelde berichtenapp doen en niet via e-mail. Meer informatie vind je hier.

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt 14 mei 2018, 13:53
Categorie Diensten
Onderwerpen e-mail, mail

Plaats een reactie

Als je een eigen afbeelding bij je reactie wil, moet je je aanmelden bij Gravatar. Daar kun je jouw e-mailadres koppelen aan een afbeelding.

Suggestie hoe we dit artikel kunnen verbeteren?
Laat het ons weten!

    Off-topic reacties worden verwijderd. Linken naar illegale bronnen is niet toegestaan. Respecteer onze algemene gedragsregels. Gebruik voor eventuele spelfouten of andere opmerkingen met betrekking tot het artikel s.v.p. onze artikelrapportage. Voor opmerkingen over ons moderatiebeleid kun je ons contactformulier gebruiken. Reacties met betrekking hierover worden als off-topic beschouwd.