Thunderbird Enigmail Sicherheitsprobleme

Smalltalk OffTopic
1

Hallo, da hier bestimmt viele Thunderbird mit Enigmail-AddOn als Mailclient benutzen könne folgende Information auf Interesse stoßen; die folgende Information kommt vom Mailanbieter posteo:

—Schnipp—

wir wenden uns mit Sicherheitshinweisen an alle Nutzer von Thunderbird und dem
Verschlüsselungs-Add-on Enigmail.

Wir wollen, dass weit verbreitete Open Source-Lösungen sicherer werden. Im
Herbst haben wir deshalb mit dem Mozilla SOS Fund kooperiert und gemeinsam ein
umfangreiches Sicherheits-Audit von Thunderbird mit Enigmail beauftragt. Für
Enigmail war es das erste Sicherheits-Audit überhaupt.

Ziel dieser Sicherheits-Untersuchung war es, Schwachstellen zu identifizieren
und die geprüfte Software nachhaltig sicherer zu machen. Im aktuellen Audit
wurden zahlreiche Schwachstellen nachgewiesen. Die Enigmail-Entwickler haben
alle gefundenen Probleme bereits behoben. Auch in Thunderbird konnten einige
Fehler bereits behoben werden - allerdings werden die meisten Verbesserungen
erst in kommenden Versionen zur Verfügung stehen. Darüber hinaus gibt es
Probleme mit der Architektur des Thunderbird-Add-on-Systems. Deshalb wenden
wir uns heute an Sie.

Betroffen sind Thunderbird-Nutzer bei allen Anbietern, wie z.B. auch bei
Gmail, GMX oder web.de.

Wir bitten alle Thunderbird- und Enigmail-Nutzer, unsere Sicherheits-
Empfehlungen weiter unten in diesem Beitrag aufmerksam zu lesen. Beachten Sie
die einfachen Sicherheitshinweise, kommunizieren Sie bereits deutlich
sicherer.

24 Tage, 8 Tester, 22 Schwachstellen

Die umfangreiche Untersuchung von Thunderbird mit Enigmail wurde im Herbst
2017 von unabhängigen Sicherheitsingenieuren (Cure53) durchgeführt. Finanziert
wurde das Audit zu gleichen Teilen von Posteo und dem Mozilla SOS Fund. Das
Projekt umfasste 24 Tage und ein Team von 8 Testern. Geprüft wurden die
Bereiche “Eingehende PGP E-Mails”, “Eingehende HTML-E-Mails”, “Erstellen der
PGP-Schlüsselpaare/Verschlüsselung generell”, “Kalender, RSS und andere
Funktionen mit Rich-Text” sowie die “Standardeinstellungen”.

Insgesamt wurden 22 sicherheitsrelevante Schwachstellen gefunden, davon wurden
3 als “kritisch” und 5 als “hoch” eingestuft. Die Entwickler von Thunderbird
und Enigmail waren in das Audit einbezogen und wurden nach dem Sicherheits-
Audit umgehend informiert.

Die Tester selbst fassen die Ergebnisse in ihrem Bericht wie folgt zusammen:
“Ein genauer Blick auf die Implementierungen von Thunderbird und Enigmail
offenbarte eine weite Verbreitung von Design-Mängeln, Sicherheitsproblemen und
Fehlern. (…) Kurz gefasst, darf eine Kommunikation unter dem gegenwärtigen
Design und in dieser Zusammensetzung derzeit nicht als sicher angesehen
werden.”(Übs.)

Als kritisch wurde bei Enigmail u.a. eingestuft, dass dort sowohl Signaturen
als auch Identitäten vorgetäuscht werden konnten. Auch konnte die
verschlüsselte Kommunikation eines Nutzers von Dritten abgefangen und unter
bestimmten Bedingungen im Weiteren kompromittiert werden. Die Enigmail-
Entwickler haben alle gefundenen Schwachstellen inzwischen geschlossen und
eine neue Enigmail-Version (1.9.9) zur Verfügung gestellt. Hierfür möchten wir
uns bei Enigmail bedanken.
https://addons.mozilla.org/de/thunderbird/addon/enigmail/
Allerdings ist Enigmail auf Thunderbird angewiesen. Und dort stehen viele
der Verbesserungen erst in kommenden Versionen zur Verfügung.

Thunderbird-Add-on-Architektur gefährdet die Sicherheit Ihrer Daten

Im Frühjahr hatten sich im Rahmen eines Posteo-Audits bereits
Architekturschwächen bei Firefox bestätigt, die wir daraufhin auch in
Thunderbird vermuteten. Das aktuelle Audit hat dies bestätigt:

Die Add-on-Architektur von Thunderbird lässt es zu, dass Angreifer über
kompromittierbare Plugins/Add-ons an Ihre E-Mail-Kommunikation gelangen. Die
Plugins/Add-ons werden nicht stark genug voneinander abgegrenzt und haben u.a.
Zugriff auf die Inhalte in Thunderbird. Das betrifft auch Ende-zu-Ende-
verschlüsselte Kommunikation: Der private PGP-Schlüssel des Nutzers kann so in
die Hände eines Angreifers gelangen. Enigmail selbst kann hier nicht
nachbessern. Es ist sogar möglich, dass ein Angreifer über kompromittierte
Add-ons in Thunderbird Zugriff auf Teile Ihres Gerätes und auf ihre sensiblen
Daten erhält.

Im Prüfbericht wird zu Vorsicht geraten: “Angenommen, ein kompromittierbares
Add-on ist installiert, dann eröffnen sich einem Angreifer zahlreiche Wege, an
den privaten Schlüssel und andere sensible Daten zu gelangen. (…) Fortan
sollten sich alle Nutzer bewusst sein, dass Thunderbird-Extensions so mächtig
sind wie ausführbare Dateien, was bedeutet, dass sie mit angemessener Vorsicht
und Sorgsamkeit zu behandeln sind.”(Übs.)

In Firefox wurde die Architektur in der aktuellen Version 57 grundlegend
umgebaut. Bei Thunderbird ist derzeit nicht absehbar, ob die Add-on-
Architektur zeitnah geändert wird.

RSS-Feeds als Spione

Im Audit wurden auch schwerwiegende Sicherheitsprobleme in Verbindung mit RSS-
Feeds nachgewiesen, die voraussichtlich erst in Thunderbird Version 59
vollständig behoben sein werden. Die Angriffswege werden in diesem Beitrag aus
Sicherheitsgründen nicht weiter beschrieben. Das Verwenden von RSS-Feeds in
Thunderbird kann Ihre vertrauliche Kommunikation in Thunderbird sowie andere
sensible Daten offenlegen und gefährden.

Bitte beachten Sie folgende Sicherheits-Empfehlungen:

Für alle Thunderbird-Nutzer:

  • Updaten Sie Thunderbird auf die neuesten Versionen, sobald diese zur
    Verfügung stehen. Die neuen Versionen werden verschiedene Schwachstellen
    beheben, die in dem Audit festgestellt wurden.
  • Nutzen Sie Thunderbird möglichst ohne oder nur mit aktuell geprüften
    Add-ons/Plugins, bis die Add-on-Architektur von Thunderbird verbessert wurde.
    Aktuell kann das Verwenden kompromittierbarer Add-ons/Plugins die
    Vertraulichkeit Ihrer Kommunikation und anderer sensibler Daten auf Ihren
    Geräten gefährden.
  • Nutzen Sie bis auf Weiteres keine RSS-Feeds in Thunderbird. Es liegen
    schwerwiegende Sicherheitsprobleme vor, die die Vertraulichkeit Ihrer
    (Ende-zu-Ende-verschlüsselten) Kommunikation gefährden.
  • Achten Sie darauf, nicht versehentlich Add-ons durch Phishing zu
    installieren, über die Sie angegriffen werden könnten.

Beachten Sie diese einfachen Sicherheitshinweise, kommunizieren sie bereits
deutlich sicherer.

Für Enigmail-Nutzer:

  • Updaten Sie Enigmail umgehend auf die neue Version 1.9.9. Diese Version
    behebt alle im Audit gefundenen Schwachstellen.
  • Updaten Sie Thunderbird auf die neuesten Versionen, sobald diese zur
    Verfügung stehen. Die neuen Versionen werden verschiedene Schwachstellen
    beheben, die in dem Audit festgestellt wurden.
  • Installieren Sie zusätzlich zu Enigmail keine weiteren Add-ons oder Plugins,
    bis die Add-on-Architektur von Thunderbird verbessert wurde.
  • Nutzen Sie bis auf Weiteres keine RSS-Feeds in Thunderbird. Es liegen
    schwerwiegende Sicherheitsprobleme vor, die die Vertraulichkeit Ihrer Ende-
    zu-Ende-verschlüsselten Kommunikation gefährden.
  • Achten Sie darauf, nicht versehentlich weitere Add-ons durch Phishing zu
    installieren, über die Sie angegriffen werden könnten.

Beachten Sie diese einfachen Sicherheitshinweise, kommunizieren sie bereits
deutlich sicherer.

Prüfbericht wird nach Schließen der Schwachstellen veröffentlicht
Aus Sicherheitserwägungen werden wir den Prüfbericht erst veröffentlichen,
wenn alle gefundenen Schwachstellen geschlossen sind. In ihm werden die
erfolgreichen Angriffe der Tester detailliert beschrieben. Den beteiligten
Entwicklern, Posteo und Mozilla liegt der Bericht vor.

Posteo und Open Source
Posteo unterstützt aus Sicherheitsgründen ausschliesslich
Open-Source-Komponenten mit transparentem Code. Wir sind überzeugt davon,
dass transparenter Code essentiell für die Sicherheit und die
demokratische Kontrolle im Internet ist: Unabhängige Experten können jederzeit
Schwachstellen oder Backdoors identifizieren und so die jeweilige Software
Schritt für Schritt sicherer machen. Bei nicht transparentem Code muss
hingegen auf die Sicherheits-Aussagen eines einzelnen Providers oder
Entwicklers vertraut werden. Und diese sind für die Öffentlichkeit nicht
nachprüfbar. Das ist aus unserer Sicht keine Option.

Open Source-Projekte brauchen Ihre Unterstützung:

Nach dem Audit: Was die Beteiligten sagen

Der Enigmail-Entwickler Patrick Brunschwig bedankt sich: “Enigmail ist eines
der meistgenutzten Tools für die Verschlüsselung mit OpenPGP. Es brauchte 16
Jahre Entwicklungszeit, bis das erste Sicherheits-Audit durchgeführt wurde. Es
war überfällig, und ich möchte Posteo dafür danken, dass es die Initiative
ergriffen hat und das Audit gemeinsam mit der Mozilla Foundation co-finanziert
hat. Nicht besonders überraschend für so ein altes Projekt, hat das Audit eine
Anzahl wichtiger Probleme offenbart, die jetzt angegangen wurden.”(Übs.)

Mozilla wertet die Untersuchung als Erfolg: “Mozilla’s Secure Open Source
Fund, ein Projekt von MOSS, stellt Sicherheits-Audits für relevante Open
Source Software zur Verfügung. Wir freuen uns sehr, dass wir mit Posteo
zusammenarbeiten konnten, um eine der wichtigsten Software-Kombinationen für
sichere E-Mail zu untersuchen, und wir sind glücklich, dass die Daten der
Nutzer als Ergebnis sicherer geworden sind.”(Übs.)

Dr. Mario Heiderich von Cure53 wünscht sich nach den Ergebnissen der
Untersuchung die Neuauflage eines Bug Bounty Programms für Thunderbird: “Wenn
alle durch Cure53 gefundenen Probleme beseitigt sind, sollte abschliessend
stark in Erwägung gezogen werden, wieder ein Bug-Bounty Programm für
Thunderbird einzuführen. Dieser Ansatz würde würde dabei helfen, die
Sicherheit auf einem akzeptablen Level zu halten, statt sie sich zu einem
veralteten Stand verschlechtern zu lassen .”(Übs.)

Patrik Löhr von Posteo möchte Veränderungen in der Add-on-Architektur von
Thunderbird: “Wir wollen verbreitete Open Source-Komponenten und echte Ende-
zu-Ende-Verschlüsselung sicherer machen: Und am besten lässt sich dies über
Sicherheits-Audits erreichen. Dass alle in Enigmail gefundenen Schwachstellen
bereits geschlossen werden konnten, ist ein Erfolg. Bei der Add-on-Architektur
von Thunderbird muss allerdings nachgebessert werden, um ein zeitgemäßes,
sicheres Setup zu erreichen. Thunderbird ist ein essentiell wichtiges Werkzeug
für sehr viele Menschen, die mit E-Mail arbeiten und eine echte Ende-zu-Ende-
Verschlüsselung nutzen. Deshalb: Der Aufwand lohnt sich.”

—Schnapp—

Gruß

Dominik

2

Hallo Dominik,

ich habe zwei große Probleme mit dieser Nachricht:

  1. es steht nirgends in welcher “kommenden” Thunderbird Version die
    Plugin Probleme behoben sein werden.

  2. wenn nicht die aktuelle schon diese kommende ist: was fällt denen ein
    ihre Ergebnisse zu veröffentlichen, bevor der Hersteller das gefixed hat?
    Bei Enigmail haben sie ja wohl gewartet: warum nicht auch auf Thunderbird?
    Natürlich ist die Umstellung der AddOn Architektur sehr aufwändig, dann
    dauert das halt …
    Wollen die Ende-Zu-Ende Verschlüsselung diskreditieren?
    Wollen sie Mozilla eine auswischen?
    Ich find das komisch…

LG

Holger

3

Hallo Holger,

es steht nirgends in welcher “kommenden” Thunderbird Version die
Plugin Probleme behoben sein werden.

auf Heise steht mit v59 - zumindest was RSS angeht. Da wir gerade bei
52.5 sind, dauert das wohl noch ziemlich lange.

Wollen die Ende-Zu-Ende Verschlüsselung diskreditieren?
Wollen sie Mozilla eine auswischen?

tja… vielleicht haben MS & Co Geld fließen lassen um OpenSource mal
wieder ans Bein zu …

Man weiß es nicht. Jedenfalls schafft es Verunsicherung.

Nun gut, ich habe zwar PGP installiert und eingerichtet, aber geschätzt
99,99% meiner Mails gehen eh unverschlüsselt auf die Reise, weil kaum
ein Gegenüber PGP nutzt - eigentlich nur Leute von hier, und mit denen
schreibe ich wiederum zu 99,99% über diese Plattform :wink: .

Viele Grüße
Steffen

4

Hallo Holger,

[baumhof] baumhof https://ask.linuxmuster.net/u/baumhof Vize-Präsident
21. Dezember

Hallo Dominik,

ich habe zwei große Probleme mit dieser Nachricht:

es steht nirgends in welcher “kommenden” Thunderbird Version die
Plugin Probleme behoben sein werden.

Hätten sie es zeitnah fixen können, hätte Posteo das wohl nicht publik
gemacht, um die Nutzer zu warnen… :wink:

wenn nicht die aktuelle schon diese kommende ist: was fällt denen ein
ihre Ergebnisse zu veröffentlichen, bevor der Hersteller das gefixed
hat?
Bei Enigmail haben sie ja wohl gewartet: warum nicht auch auf
Thunderbird?
Natürlich ist die Umstellung der AddOn Architektur sehr aufwändig, dann
dauert das halt …
Wollen die Ende-Zu-Ende Verschlüsselung diskreditieren?
Wollen sie Mozilla eine auswischen?
Ich find das komisch…

Ich denke Posteo tut das mit den besten Absichten und ist auch der
richtige Weg. Mozilla bekommt es nicht gebacken, deshalb werden Nutzer
gewarnt, dass AddOns, RSS-Feeds und Enigmail <1.9.9 potenziell
missbraucht werden können um Daten abzufischen. IMO nicht nur PGP,
sondern auch etwaige gespeicherte Passwörter, etc.

Es wurde aber bewusst nicht gezeigt, wie der Angriff funktioniert. Dafür
sollte man als Thunderbird-Nutzer überlegen, auf welche Addons man
verzichten kann bzw. dass man sich im Moment zweimal überlegen sollte
AddOns zu installieren.

Viele Grüße

Christoph

5

Hallo,

deshalb werden Nutzer
gewarnt, dass AddOns, RSS-Feeds und Enigmail <1.9.9 potenziell
missbraucht werden können um Daten abzufischen.

ich nehme an, dass es dabei unerheblich ist, um was für einen RSS-Feed
es sich handelt.

Sprich, man sollte auch LMN-RSS-Feeds rausschmeißen oder?

auf welche Addons man
verzichten kann bzw. dass man sich im Moment zweimal überlegen sollte
AddOns zu installieren.

Was ist mit den standardmäßig mitgelieferten Gnome und Unity Integration
Addons, wenn man Ubuntu benutzt?

Sollte man die auch besser deaktivieren?

Viele Grüße
Steffen

6

Da nicht wirklich hervorgeht wovon konkret das Sicherheitsrisiko abhängt würde ich persönlich das aktuell deaktivieren.

Ich denke man muss hier differenzieren:
Möchte ein AddOn-Anbieter gezielt Sicherheitslücken für sich ausnutzen oder können durch ein schlecht programmiertes AddOn Sicherheitslücken entstehen.
Ersteres würde ich für beide AddOns ausschließen. Und bei zweiterem kommt es auf den persönlichen Paranoia Level an. Ich selbst habe beispielsweise Lightning aktiviert gelassen. Die Lightning AddOns für Monatsansicht und QR-Code habe ich hingegen deaktiviert, da ich darauf aktuell verzichten kann.

Dadurch, dass nicht veröffentlicht wurde wie konkret die Sicherrheitslücken aussehen ist es ein Stochern im Nebel. Finde es so aber trotzdem besser, statt die Nutzer Monate im Dunkeln zu lassen und wissentlich diesem Sicherheitsrisiko auszusetzen.

7

Hi.

Ich finde diese Behauptungen böse unterstellungen. Ich traue posteo aus dem Bauch heraus noch mehr als der Mozilla Foundation, die träge ist und ab und zu google mit ins Boot holt.
Von posteo hab ich noch nix negatives gehört.

Ich finde sie machen, was sie sagen: sie verwenden open-source (kann ich nicht überprüfen) und sie machen „etwas“ (kommunikation, usw.) transparent (mit dieser Nachricht). Und sie haben Geld in die Hand genommen für einen Audit. Das erhält meinen Respekt.

Vg, Tobias

1 „Gefällt mir“
8

Hallo Christoph,

Ich selbst habe
beispielsweise Lightning aktiviert gelesen.

darauf kann ich keinesfalls verzichten, sonst bin ich komplett
terminlos. Na gut, am Smartphone habe ich die Termine auch, da es
Nextcloudkalender sind.

Aber das Risiko gehe ich jetzt trotzdem auch ein :wink:

Viele Grüße
Steffen