Firefox unterbindet die Sicherheit von Krypto-Plugins selber
Eigentlich sollte das Firefox-Plugin Mailvelope eine sichere E-Mail-Nutzung ermöglichen. Doch schwerwiegende Fehler machen dies genau nicht möglich. Im Gegenteil das Add-on verursacht weitere Probleme.
Mailvelope nicht empfehlenswert
Das Spezialisten-Team von Cure53 hat herausgefunden, dass unter bestimmten Voraussetzungen die Sicherheits-Architektur in Verbindung mit dem Plugin große Probleme verursacht. Einem Angreifer kann es dann mühelos gelingen den privaten Krypto-Schlüssel eines PGP-Nutzers auszulesen. Diese Möglichkeit besteht nicht nur bei Zugriffen auf Nachrichten, die über den Posteo-Accounts bearbeitet werden, sondern ebenfalls andere E-Mail-Dienste wie Gmail, Web.de, De-Mail oder auch GMX. Kurzum im Grunde ist keine E-Mail mehr sicher unter der Verwendung von Mailvelope.
Analyse
Die Analyse des Experten-Teams deckte nicht nur diese Sicherheitslücke auf. Vielmehr stellten die Prüfer auch fest, dass die Firefox-Architektur die unterschiedlichen Add-ons nicht ausreichend voneinander trennt. Generell ist dieses Problem nahezu so alt wie Firefox selber. Aber bisher konnten keine Beweise geliefert werden, dass dadurch auch die Sicherheit der Krypto-Schlüssel betroffen ist. Genau eben dieses wurde nun durch Cure53 nachgewiesen. Daher lautet das Fazit der Sicherheitsspezialisten von Cure53: „Das Verwenden von Mailvelope unter Firefox nicht guten Gewissens empfehlen!“
Fehlerbehebung lässt auf sich warten
Wird eine so gravierende Sicherheitslücke entdeckt, arbeiten alle Beteiligten im Normalfall fieberhaft an einer Lösung. Diese erfolgt normalerweise in Form eines Patch.
Die Entdeckung der Sicherheitslücke wird dem Plugin-Entwickler angezeigt und dieser setzt sich daran, dass Problem zu beheben. Ist eine Lösung gefunden wird diese umgesetzt. In Form eines Patch bedeutet dies, dass den Nutzern dieses zur Verfügung gestellt wird.
In diesem Fall ist diese Vorgehensweise jedoch nicht möglich. Die Entwickler von Mailvelope können die Sicherheitslücke nicht selber schließen, weil Firefox einen großen Anteil daran hat. Im Grunde müssten beide Entwickler-Teams zusammenarbeiten. Firefox gibt aber klar zu verstehen, dass sich an dieser Situation in nächster Zeit nichts ändern wird.
Fertigstellung geplant
Es wird zwar bereits an einer neuen Add-On-Architektur gearbeitet, aber sie wird nicht in nächster Zeit fertig. Geplant ist, dass diese neue Architektur in Firefox 57 Anwendung findet. Allerdings wird Firefox 57 aller Voraussicht nach erst im November 2017 veröffentlicht. Bis dahin heißt es also abwarten und bestenfalls auf die Verwendung von Mailvelope verzichten.