Ziel dieses Projekts war die Erweiterung und Verbesserung der Browser-Extension Mailvelope, welche es u.A. erlaubt direkt im Browser E-Mails zu verschlüsseln, zu entschlüsseln oder zu signieren sowie eine Signaturprüfung auf E-Mails durchzuführen. Im Rahmen des Sicherheitstests konnte SEC Consult diverse Schwachstellen in den im Rahmen des Projekts weiterentwickelten Vorversionen von Mailvelope und der Krypto-Bibliothek OpenPGP.js identifizieren.
Beispielsweise beschreibt eine der gefundenen Schwachstellen die Durchführung einer „Invalid Curve Attack“, eines Angriffs auf die Implementierung Elliptischer-Kurven-Kryptografie. Unter speziellen Voraussetzungen hätte diese Schwachstelle einem Angreifer erlauben können private PGP-Schlüssel eines Opfers auszulesen und so beispielsweise verschlüsselte E-Mails mitlesen können.
Weitere Schwachstellen hätten es unter speziellen Voraussetzungen u.A. einem Angreifer erlaubt, Signaturen zu fälschen, dem Opfer manipuliertes Schlüsselmaterial unterzujubeln oder Einstellungen der Browser-Erweiterung zu manipulieren.
SEC Consult konnte im Rahmen einer tiefgehenden Analyse diese und viele weitere Schwachstellen aufdecken und ist stolz darauf zur Sicherheit und Qualität dieser Open-Source Projekte beitragen haben zu können.
Weitere Artikel zum Thema Mailvelope:
- Security-Advisory (Englisch)
- Pressemeldung des BSI