PGP/GPG of S/MIME is al heel erg lang de standaard voor mensen die de communicatie via mail vertrouwelijk willen houden door die alleen versleuteld te versturen.

Maak je gebruik van plugin daarvoor, dan is het zaak om even erg goed op te letten. Want morgen zullen er gevonden zwakke plekken in dit protocol naar buiten worden gebracht, vanaf dat moment zal de communicatie hiermee dus minder veilig zijn, in ieder geval in theorie (meestal duurt het wel even voordat er ook daadwerkelijk een exploit is).

We'll publish critical vulnerabilities in PGP/GPG and S/MIME email encryption on 2018-05-15 07:00 UTC. They might reveal the plaintext of encrypted emails, including encrypted emails sent in the past. #efail 1/4

— Sebastian Schinzel @seecurity@infosec.exchange (@seecurity) May 14, 2018

Tijdelijke oplossing

Gelukkig is er ook al een tijdelijke oplossing voor dit probleem, zoals je in de tweet hieronder kan zien. Daarvoor moet je dus in de voorkeuren van Mail onder Weergave de optie "Laad extern materiaal in berichten" uitzetten.

Dit raden we trouwens iedereen aan, ook als je niet dit soort plugins gebruikt. Want door het laden van extern materiaal kunnen bijvoorbeeld spammers zien als jij een bericht van ze opent.

In diezelfde tweet zie je onderaan dat er binnenkort ook een update komt in de vorm van GPG Suite 2018.2, die zou dit probleem helemaal op moeten lossen.

"Efail": as a temporary workaround against "efail" (https://t.co/kVGyQEDybr), disable "Load remote content in messages" in Mail → Preferences → Viewing.

GPG Suite 2018.2 which mitigates against this attack is coming very soon. pic.twitter.com/E35hflsHnt

— GPGTools (@GPGTools) May 14, 2018

Gebruik je Pretty Good Privacy nog niet maar heeft het wel je interesse, op deze pagina kan je er meer over lezen.


Het nieuws op MacFreak wordt gesponsord door Upgreatest (ssd upgrades op locatie)

Wat je vindt in de reactie van Spooter hierboven was in eerste instantie de enige oplossing. De oplossing in het nieuwsbericht kwam daarna, en heeft wat mij betreft de voorkeur (want veel makkelijker).

Dat laatste is de reden dat ik die eerder oplossing niet heb vermeld in het nieuwsbericht.

Even een kleine correctie op het bovenstaande bericht:

Het probleem doet zich niet enkel voor met Pretty Good Privacy (PGP), of de Open Source GPG variant, maar ook met S/MIME (SSL) versleutelde berichten. Sterker nog, de situatie is bij S/MIME-versleuteling mogelijk nog erger.

Het lek bestaat uit meerdere onderdelen, maar het begint met het feit dat opzettelijk niet goed afgesloten HTML-tags misbruikt kunnen worden om content van een server af te halen, al dan niet vermomt als afbeelding.

Het verzonden bericht bevat:



Wat je vervolgens ziet is:



en praktisch alle mailclients verwerken dit tot:



Oftewel: de meeste eMail-clients lezen dit als een instructie een extern plaatje te laden.

Het probleem is dat dit overigens NIET ENKEL BEPERKT IS tot GPG of S/MIME. Het gehele mechanisme waar het hier specifiek om draait (het interpreteren van tags en verwerken van deze) noemen we 'exfiltratie' (een slinkse wijze van het extraheren van gegevens).

Hoofdelijk kun je twee dingen doen:

1. Het automatisch weergeven van HTML-berichten uitschakelen alsmede zelf geen HTML/RTF berichten sturen
2. Het uitzetten van het automatisch verwerken van bijlagen, zoals in dit voorbeeld, ZOWEL GPG/PGP als S/MIME.

Maar, let op! nachtelijke experimenten (vandaar het tijdstip van dit schrijven (rond vijven hedenochtend) tonen aan dat het probleem veel verder reikt dan GPG/PGP.

Daarbij moet (met tegenzin) gezegd: Apple scoort slecht hierin. Dit komt omdat Apple ervoor kiest om diverse Tags automatisch te verwerken. Apple is zeker niet de enige overigens, maar opvallen was wel dat de Apple clients (op zowel iOS als macOS) niet alleen vatbaar bleken voor S/MIME aanvallen (zoals praktisch alle mailclients), maar OOK voor GPG/PGP aanvallen (Microsoft Outlook en Linux Evolution clients zijn dat bijvoorbeeld weer niet) en erger nog: directe exfiltratie aanvallen middels andere HTML-code ...

Niet perse moeilijk te verhelpen, maar voor een premium OS waar beveiliging hoog in het vaandel zou moeten staan wel slordig dat men nog minder scoort dan Microsoft (in mijn ogen).

Waar Outlook 2013 en 2016 je bestoken met vragen of je wel zeker weet of je de content wel wil openen en dat deze mogelijk kwaadwillende programmatuur kan bevatten, verwerkt Apple Mail op zowel iOS als macOS de inhoud waarbij een kwaadwillend bestand dat specifiek bedoeld was voor macOS om gegevens BINNEN DE GEBRUIKER RECHTEN te verzamelen en klaar te zetten 'voor verzending' gewoon geladen werd op de test apparatuur ...

Kortom:

S/MIME is bijzonder onveilig in deze situatie
GPG/PGP is op Apple niet veilig, op Windows werkt het weer wel goed onder Outlook, maar weer niet onder de Open Source Thunderbird client

En verder blijkt HTML email (wederom) de vloek voor computerbeveiligers. Maar goed, er zijn genoeg situaties waar het weer een zegen bleek te zijn (vooral om gegevens te onttrekken voor opdrachtgevers, al dan niet binnen het overheidswezen) ...

Kortom, voorzichtigheid is geboden. Gezond verstand boven gebruiksgemak 

doctor_apple heeft helemaal gelijk, de titel en de aanvang van het nieuwsbericht zijn bij deze aangepast (het stond trouwens al wel goed in de eerste tweet in het nieuwsbericht).