Sicherheitsforscher haben in diversen E-Mail-Programmen Schwachstellen entdeckt, die bei Verwendung von Mailto-Links ausgenutzt werden können. Hier einige Informationen zu diesem Thema.
Anzeige
Wer jemandem von einer Webseite aus eine E-Mail schicken möchte, kann dies häufig direkt mit einem Klick auf die dort veröffentlichte E-Mail-Adresse tun – schon öffnet sich im E-Mail-Programm automatisch das Nachrichtenfenster an den gewünschten Empfänger.
Die Sicherheitsforscher Prof. Dr. Sebastian Schinzel und Damian Poddebniak haben nun im Labor für IT-Sicherheit der FH-Münster verschiedene E-Mail-Programme unter die Lupe genommen. Dabei stießen Sie auf Sicherheitslücken bei Verwendung sogenannter Mailto-Links. Hacker könnten dadurch zum Beispiel Zugriff auf verschlüsselte Nachrichten bekommen.
Untersuchung von E-Mail-Programmen
Prof. Schinzel untersucht gemeinsam mit Wissenschaftlern der Ruhr-Universität Bochum bereits seit 2018 unterschiedliche Sicherheitslücken im Kontext von E-Mail-Verschlüsselungen im Labor für IT-Sicherheit. Dabei geht es um die Sicherheit der Verschlüsselungstechnologien OpenPGP und S/MIME, wie sie zum Beispiel von Journalisten und politischen Aktivisten, aber auch von Unternehmen und Behörden eingesetzt werden.
In der neuesten Studie die Sicherheitsforscher wird ein kreativer und zugleich sehr simpler Angriff untersucht. Sie haben gezeigt, wie erschreckend einfach man sich über Mailto-Links den privaten Schlüssel von Absendern zuschicken lassen kann. Mit diesem privaten Schlüssel kann man verschlüsselte OpenPGP- oder S/MIME-Nachrichten entschlüsseln.
Wie genau funktioniert der Angriff?
Beim Erstellen eines Mailto-Links auf Webseiten können über HTML-Befehle bestimmte Inhalte der E-Mail vorgegeben werden. Neben der E-Mail-Adresse des Empfängers und dem Betreff erzwingen manche E-Mail-Programme, eine vorausgewählte Datei anzuhängen und mitzuschicken. Damit das funktioniert, muss der Hacker den exakten Namen der Datei und ihren Speicherort auf dem Computer eines Absenders kennen. Das ist bei den meisten persönlichen Dateien natürlich schwierig herauszufinden. Der private E-Mail-Schlüssel hingegen hat immer den gleichen Namen und wird üblicherweise über einen Standardpfad auf dem Computer gespeichert.
Fällt es nicht auf, wenn man ungewollt einen Anhang mitschickt?
Ein aufmerksamer Absender kann das sehen, aber die meisten Leute achten in der Eile einfach nicht darauf – sie wollen schließlich nur schnell und unkompliziert eine E-Mail verschicken. Die Hersteller von E-Mail-Programmen sind daher in der Pflicht, dieses Problem zu beheben. Vorausgefüllte E-Mail-Adressen und der Betreff sind unproblematisch, aber es sollte gar nicht erst möglich sein, Dateianhänge in Mailto-Links einzubinden. "Wir haben die Mailbetreiber vor unserer Veröffentlichung über die Sicherheitslücke informiert, sodass mittlerweile Updates verfügbar sind.", so der Entdecker Prof. Dr. Sebastian Schinzel.
Originalpublikation: Quelle
Jens Müller, Marcus Brinkmann, Damian Poddebniak, Sebastian Schinzel, Jörg Schwenk (2020): Mailto: Me Your Secrets. On Bugs and Features in Email End-to-End Encryption. 2020 IEEE Conference on Communications and Network Security (CNS), DOI: 10.1109/CNS48642.2020.9162218
Anzeige
2015
Das funktioniert nur, wenn man die E-Mails in HTML empfängt und verfasst. Falls diese nur im rein Text-Format empfangen und verfasst werden, ist ein Angriff ausgeschlossen.