Een fatale fout in de populaire Thunderbird extensie Enigmail kan ertoe leiden dat mails die versleuteld zijn volgens de specificaties van de software toch gewoon als platte tekst online zichtbaar zijn. Iedereen die vertrouwelijke of zelfs geheime informatie met deze functie verstuurt, loopt het risico dat deze door derden wordt gelezen.
De fout is ontdekt in de zogenaamde junior mode, die standaard actief is na de Enigmail installatie. In deze modus wordt de Pretty Easy Privacy (pEp) encryptiemethode (pEp) gebruikt om de e-mailcodering te vergemakkelijken en voor iedereen beschikbaar te maken. Het ontlast de gebruiker van alle instellingsstappen en gebruikt de gevestigde OpenPGP op de achtergrond. pEp werd in het voorjaar van 2018 geïntegreerd in Enigmail.
Bedrieglijke beveiliging
Een statusbericht aan de onderkant van de mail editor geeft aan of encryptie wordt gebruikt. Als er staat “Privacy status: Secure” of “Secure & Familiar”, zou er geen twijfel over moeten bestaan dat het e-mailbericht end-to-end versleuteld wordt verzonden. In werkelijkheid blijkt dat niet het geval. Het bericht wordt gewoon als onversleutelde platte tekst verstuurd.
Module onmiddelijk uitschakelen
De bug lijkt alleen voor te komen in de Windows versie van de software. Tot nader order moet je de junior mode van Enigmail vermijden en “het gebruik van S/MIME en Enigmail forceren”.
Ontwikkelaars werken aan update
De bug zit niet in de Enigmail code, maar in de pEp module, die niet geschreven is door Enigmail ontwikkelaar Patrick Brunschwig, maar bijgedragen door de Stichting p≡p. Hoewel het een integraal onderdeel is van elke Enigmail-installatie, wordt het afzonderlijk ontwikkeld en kan het onafhankelijk van de Enigmail-extensie worden bijgewerkt.
Aanmelden PrivacyZone Nieuwsbrief
Met een gratis abonnement op de PrivacyZone Nieuwsbrief voldoet u aan een van de eisen van de Europese privacywet GDPR / AVG. Wij houden u wekelijks op de hoogte met nieuws, jurisprudentie en advies. U wordt geacht deze ontwikkelingen actief te volgen en indien noodzakelijk gepaste maatregelen te treffen.
Bedankt voor uw aanmelding voor de PrivacyZone Nieuwsbrief.
U kunt u ten allen tijde eenvoudig afmelden voor de nieuwsbrief. Zie de Privacy Policy en Algemene Voorwaarden van PrivacyZone.