We kijken al een tijdje vol spanning uit naar href="http://www.protonmail.ch" target="_blank">ProtonMail</a>, de extra veilige webmail die door CERN ontworpen is. Niet de minste partij, dus we <a href="http://www.pcmweb.nl/nieuws/protonmail-nieuwe-beveiligde-mail-van-de-ontwerpers-van-het-internet.html">verwachtten er veel van</a>. Helaas blijkt zelfs ProtonMail niet volledig veilig, zoals deze onderzoeker laat zien.
Uit de video die Thomas Roth plaatste, blijkt dat de "veilige" webmail makkelijk te hacken is. Met alleen een browser, nota bene.
How I hacked the "secure" e-mail provider Protonmail - just using a browser.
-
Javascript
Roth laat zien dat de mail-client bij de ontvanger direct Javascripts uitvoert. Daardoor kan hij in potentie veel schade aanrichten - zo kan hij de hele inbox van de ontvanger laten doorsturen naar zijn eigen server.
'Extra veilig'
ProtonMail werd vorige maand aangekondigd als een "extra veilige maildienst", die was gemaakt door het Zwitserse onderzoeksinstituut CERN. Niet de minste partij, want dat is toch de plaats waar het wereldwijde web werd uitgevonden. Je zou denken dat ze daar wel iets van beveiliging weten.
De fout kan snel gerepareerd worden door CERN, maar zoals Roth ook al terecht opmerkt: "Hoe kunnen we hen in de toekomst nog vertrouwen als ze zulke slordige fouten maken?"
Hacking protonmail - with a browser. from No No on Vimeo.