Beveiligingslek in Apple Mail kan versleutelde e-mail zichtbaar maken

Het gaat hier in feite om twee problemen:

• De direct exfiltration attack: een beveiligingslek in de Mail-app, dat door Apple opgelost kan worden.
• De nieuwere CBC/CFB gadget attacks: Een algemener probleem met de PGP-encryptie van e-mail, dat lastiger op te lossen is omdat hiervoor een nieuwe standaard voor e-mailencryptie moet worden bedacht.

Beveiligingslek in Mail-app

De tekst van een Mail-bericht is niet zomaar leesbaar, maar een aanvaller kan wel de platte tekst onttrekken aan een versleuteld e-mailbericht. Het probleem doet zich voor bij Apple Mail op de Mac, de Mail-app in iOS en de Thunderbird-app. Daarbij wordt een methode gebruikt waarbij het antwoord op een mailtje in drie stukken kan worden verstuurd. Een aanvaller verstuurt een gedeeltelijke declaratie van de HTML img-tag, een string met de versleutelde tekst en vervolgens de afsluitende HTML voor de img-tag. Hierbij zal Apple Mail de versleutelde tekst gewoon weergeven. Belangrijk om te weten: een aanvaller moet wel beschikken over jouw versleutelde e-mailberichten. Het is dus niet mogelijk om zomaar wat berichten van een willekeurige persoon te gaan lezen.

De aanvaller hoeft niet te beschikken over de private encryptiesleutel, maar moet wel toegang hebben tot de versleutelde berichten zelf. Je kunt dit oplossen door de HTML-weergave van berichten uit te schakelen. Apple kan het beveiligingslek oplossen met een software-update, maar die is nog niet beschikbaar. Verstuur je veel versleutelde berichten binnen een groep, dan wordt het gevaar alweer wat groter omdat de aanvaller maar toegang hoeft te hebben tot de e-mail van één persoon binnen de groep.

Wat kun je zelf doen?
Maak je geen gebruik van versleutelde e-mailberichten, dan hoef je niets te doen. Je e-mail wordt momenteel toch al onbeveiligd verstuurd en is te onderscheppen. Je bent daarmee niet de enige, want de meeste e-mail wordt nog steeds onversleuteld verstuurd. Wat je wél zou kunnen doen is stoppen met het delen van vertrouwelijke informatie via e-mail, zoals creditcardgegevens en wachtwoorden. Je kunt daarvoor beter berichtendiensten met standaard encryptie gebruiken zoals iMessage of WhatsApp.

Gebruik je regelmatig versleutelde e-mail, dan kun je het onderscheppen van je berichten voorkomen door de volgende instellingen aan te passen:

1. Open de Mail-app op je Mac.
2. Ga naar Mail > Voorkeuren > Weergave.
3. Zet het vinkje uit bij Laad extern materiaal in berichten.

In de Mail-app op iOS doe je het volgende:

1. Open de Instellingen-app op je iPhone of iPad.
2. Ga naar Mail.
3. Zet de schakelaar uit bij Laad afbeeldingen.

Je kunt ook de PGP-sleutels van de Mail-app wissen, zodat de app geen berichten meer kan ontsleutelen, maar dat is wat ingrijpender.

Beveiligingslek in PGP

Eerder vandaag was er ook ophef over een beveiligingslek in PGP, de meestgebruikte methode om e-mail te versleutelen. Dit is echter minder ingrijpend dan aanvankelijk was gedacht. De EFF riep gebruikers op om tijdelijk geen PGP meer te gebruiken, maar dat blijkt wat overdreven. Het gebruik van PGP voor backups is bijvoorbeeld nog steeds veilig en ook het gebruik van platforms zoals Publeaks levert geen risico’s op. Het gaat om zo’n twintig e-mailapps die te maken hebben met een technische fout, waardoor ze niet veilig te gebruiken zijn voor versleutelde e-mail. Ook hierbij moet een aanvaller al toegang hebben tot de versleutelde berichten. Om het onderliggende probleem op te lossen zullen de encryptiestandaarden voor e-mail aangepast moeten worden en dat kost meer werk dan het omzetten van een schuifje. Hoe dan ook: het is niet meteen nodig om PGP aan de kant te zetten, maar als je de komende tijd een geheim wilt versturen kun je dat het beste via een versleutelde berichtenapp doen en niet via e-mail. Meer informatie vind je hier.

Bekijk ook

De beste veilige chatapps met encryptie voor je iPhone

Met welke beveiligde chatapp heb je end-to-end encryptie en kun je versleutelde berichten versturen? Wij hebben de beste apps op een rijtje gezet.