Wochenrückblick KW 20/2018

Dieser Wochenrückblick kommt etwas verspätet, weil nicht nur Pfingsten über die Tage war, sondern auch viel an meiner App CapriPix gefeilt wurde. Aber der Reihe nach.

Am Anfang der Woche war die Frage, ob E-Mail noch sicher ist – es ging um Efail. Das Zwischenergebnis: die Plugins decken verschiedene Edge-Cases nicht ab, mit denen es möglich ist, den entschlüsselten Inhalt der Nachrichten per GET-Request aus einem Bild einfach dem Angreifer nach Hause zu schicken. SEHR ärgerlich, die Verschlüsselung an sich wurde aber nicht geknackt. Zum Glück.

Vor zwei Wochen berichtete ich, das Google Chrome nun automatisch nach Vorlieben des Nutzers Autoplay-Inhalte blockt. Naja, nun doch nicht mehr. Gab wohl zu viele false positives.

Herrlich, so bringt man also Fake News und DSGVO zusammen! 😀 Gute Nachrichten übrigens in der Frage: WordPress unterstützt nun scheinbar die Datenlöschung und -einsicht für Anfragen Betroffener. Das erspart (bzw. u.U. ermöglicht erst) die Datenbank zu durchforsten nach solchen Daten.

Google One ist sozusagen Google Drive “Plus”. Der Name soll aber trotzdem bleiben. Wäre ja sonst zu durchsichtig. 😉 Unter diesem Namen werden die Speicherplatzerweiterungen geführt, die sich nun auch in der Familie teilen lassen.

Auch in den Medien letzte Woche präsent: Dashcams sind verboten, aber zugelassen.

Heute Abend (18:15 Uhr) wird Mark Zuckerberg im EU-Parlament öffentlich angehört. Gepostet wurde das übrigens auf … Facebook.

Mein mit Abstand beliebtester Artikel ist ja der über das Snapchat-Update, das SEHR SEHR viele verärgert. In Auftrag gegeben wurde das übrigens vom Chef persönlich nach einem China-Aufenthalt.

Und zum Schluss: die Bundesregierung will ermöglichen, dass deutsche Bürger mit ständigem Aufenhalt im Ausland nun auch eine De-Mail-Adresse eröffnen können. Warte, DAS WAR BISHER NOCH NICHT MÖGLICH?!

Efail


[Breaking] Wie Sebastian Schinzel, Professor an der Fachhochschule Münster schreibt, sind momentan die Implementierungen zu den verbreiteten Verfahren PGP und S/MIME zur Verschlüsselung von E-Mails akut angreifbar. Siehe Tweet:

Auch die EFF warnt nun und rät, bis auf Weiteres die Verschlüsselung zu deaktivieren und andere Kanäle zu nutzen. Weitere Informationen sollen morgen folgen.

[Update 13:28 Uhr] BSI-Pressemitteilung zur Thematik

[Update 13:29 Uhr] Änderung im Text: die Implementierungen sind angreifbar, die Verfahren selbst sollen nach aktuellem Stand noch sicher sein

[Update 13:46 Uhr] Artikel von Netzpolitik.org. Es geht scheinbar in erster Linie um aktive Inhalte. EFail.de ist eine Übersichtssetie zur Thematik. Hier befindet sich das dazugehörige Paper.

[Update 13:50 Uhr] Zusammengefasst:

In a nutshell, EFAIL abuses active content of HTML emails, for example externally loaded images or styles, to exfiltrate plaintext through requested URLs.

– https://efail.de/

[Update 13:56 Uhr] Empfehlenswert im Paper ist Seite 11, Table 4. Hier ist aufgelistet, bei welchen Clients akuter Handlungsbedarf herrscht. Mozilla Thunderbird soll demnach sehr angreifbar sein (S/MIME und alle PGP-Varianten), Evolution nur bei S/MIME und der Kommandozeilenclient Mutt – oh Wunder – gar nicht (der weiß mE nicht Mal, wie er ein Bild aufrufen kann, aber das rettet ihn scheinbar). Roundcube-Admins aufgepasst: hier muss auch gehandelt werden.