>b's weblog

News. Journal. Whatever.

Deutschlands Prioritäten„Ungeeignet“, „populistisch“ und „verfassungswidrig“: Experten nehmen Söders Polizeigesetz auseinander

Fake News: efail. Nein, deinstalliert auf keinen Fall Eure E-Mail-Verschlüsselung!

Die Darstellung der EFF ist Fake News. Beim efail-Angriff geht es darum, dass in kaputten E-Mail-Clients Content wie Bilder aus dem Web nachgeladen wird – ggf. sogar ohne den Nutzer zu fragen. Das kann man nun mit manipulierten S/MIME- oder PGP-Nachrichten triggern. Dann erhält der Angreifer bei Erfolg Zugang zum Quelltext der Mail.

Das dümmste, was man da tun kann, ist die E-Mail-Verschlüsselung abzuschalten. Denn dann erhält jeder Angreifer so oder so Zugang zum Quelltext der Mail. Das ist der Versuch, Feuer mit Benzin zu löschen. Was man stattdessen tun muss (und nicht nur wegen efail) ist, das Nachladen von Bildern aus dem Web ganz auszuschalten. Alternativ kann man auch Mailclients nutzen, die niemals Content aus dem Web nachladen. Die Mailclients von p≡p sind von dieser Art.

Enigmail hat das Problem seit einem halben Jahr nicht mehr. p≡p hat das Problem nie gehabt. Wichtig ist also: aktuelle Clients einsetzen. Sicherheitssoftware muss man updaten!