IT-experts van de Hogeschool Münster en Hogeschool Bochum in Duitsland en de Leuvense Universiteit in België hebben lekken ontdekt in twee gangbare versleutelingsmethoden voor e-mail. Het zwakke punt kan aanvallers toegang hebben gegeven tot versleutelde berichten.
OpenPGP- en S/MIME
E-Mailberichten die zijn gecodeerd met de OpenPGP- en S/MIME-standaarden blijken op twee verschillende manieren zo te kunnen worden gemanipuleerd, dat aanvallers de inhoud gewoon kunnen lezen.
De onderwijsinstellingen hebben hun bevindingen gemeld aan het Federaal Bureau voor Informatiebeveiliging (BSI) in Duitsland.
Hack is niet eenvoudig
Het blijkt overigens niet eenvoudig om de versleutelde mail te kraken.
Volgens het BSI moet een aanvaller toegang hebben tot de verbindingen, mailserver of e-mailinbox van de ontvanger om de kwetsbare versleutelingsoftware te kunnen uitbuiten.
Daarnaast moet actieve content aan ontvangende zijde worden toegestaan, zoals het uitvoeren van HTML-code en in het bijzonder het laden van externe content.
De producenten van e-mailclients hebben inmiddels updates van hun producten aangekondigd of reeds beschikbaar gesteld. Een veilige configuratie beschermt ook tegen speciale beveiligingsupdates.
Het BSI geeft daarnaast het volgende advies:
- Actieve inhoud in de e-mailclient moet worden gedeactiveerd. Dit omvat het uitvoeren van HTML-code en het herladen van externe content, wat vaak om ontwerptechnische redenen is toegestaan.
- E-mailservers en e-mailclients moeten tegen pogingen van onbevoegden worden beveiligd.
Aanmelden PrivacyZone Nieuwsbrief
Met een gratis abonnement op de PrivacyZone Nieuwsbrief voldoet u aan een van de eisen van de Europese privacywet GDPR / AVG. Wij houden u wekelijks op de hoogte met nieuws, jurisprudentie en advies. U wordt geacht deze ontwikkelingen actief te volgen en indien noodzakelijk gepaste maatregelen te treffen.
Bedankt voor uw aanmelding voor de PrivacyZone Nieuwsbrief.
U kunt u ten allen tijde eenvoudig afmelden voor de nieuwsbrief. Zie de Privacy Policy en Algemene Voorwaarden van PrivacyZone.