Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

Mailto-Link kann ausgenutzt werden um sensible Dateien abzugreifen!

M.Sc. Jan Hörnemann

Die Email ist immer noch das Hauptkommunikationsmittel wenn man sich im geschäftlichen Bereich aufhält. So genannte Mailto-Links sorgen dafür, dass sich automatisch das default Email-Programm öffnet und eine Email mit vorgefertigtem Absender erscheint. Forscher der Ruhr Universität Bochum haben nun festgestellt, dass in solchen Links nicht nur der Empfänger gesetzt werden kann, sondern auch Anhänge festgelegt werden können.

Mailto-Links und der Nutzen

Mailto-Links können auf verschiedenen Webseiten gefunden werden, die bspw. einen Kundensupport oder eine andere Dienstleistung anbieten. Auch auf unserer Webseite befinden sich Mailto-Links, z.B. für eine direkte Live-Hacking Anfrage.

Durch solche Links bietet der Betreiber der Webseite dem Besucher an, ohne große Umstände Kontakt aufzunehmen, indem per Mailto-Link automatisch eine neue Email öffnet, in der meist der Empfänger und der Betreff eingetragen sind.

Platziert man den Mauszeiger auf dem Button: „Jetzt kostenfreies Angebot anfordern“, können wir unten links im Browser erkennen, wo uns ein Klick auf den Button weiterleiten würde. In diesem Fall sehen wir den Link: „mailto:hacking@aware7.de“. Durch ein Klick auf den Button öffnet sich das Email-Programm mit einer neu verfassten Email, in der der Empfänger „hacking@aware7.de“ voreingetragen ist.

Mailto-Link LiveHacking
An dem Link unten links im Browser können wir erkennen, welche Felder der Email voreingetragen werden. In diesem Fall wird nur der Empfänger voreingetragen.

Gefahr durch unentdeckte Anhänge

Bislang haben wir uns primär die Vorteile solcher Mailto-Links angeschaut, doch wie die Forscher der RUB festgestellt haben entstehen Gefahren dadurch, dass diese Links automatisch Anhänge an eine Email hinzufügen können. Benutzer, die einen Mailto-Link benutzen rechnen in den seltensten Fällen damit, dass automatische eine Datei von dem eigenen System als Anhang hinzugefügt wird. Dieser Anhang kann schnell übersehen werden und somit können sensible Dokumente verschickt werden.

Diese Bedrohung haben die Forscher in 3 verschiedene Sicherheitsstufen eingegrenzt. Die 1. Stufe (E1) besagt, dass das verwendete Email-Programm es nicht erlaubt Anhänge über einen Mailto-Link hinzuzufügen, dementsprechend sind diese Email-Programme geschützt gegen diesen Angriff.

Die 2. Stufe (E2) steht für Email-Programme, die es erlauben Dateien von dem lokalen Gerät per Mailto-Link an eine Email anzuhängen, jedoch wird bei versteckten Dateien ein Hinweis eingeblendet, sodass der Nutzer erkennt, wenn der Mailto-Link auf versteckte Dateien zugreift.

Die gefährlichste Einstufung und zwar die 3. Stufe (E3) erlaubt, dass sämtliche Dateien angehängt werden können, ohne dass ein Hinweis oder sonstiges den Benutzer vor dieser Aktion warnt. Von 20 getesteten Email-Programmen wurden 3 mit der gefährlichsten Kategorie eingestuft und eine mit der E2 Kategorie versehen. Auffällig ist, dass unter den 3 Programmen, welche mit E3 kategorisiert wurden auch Thunderbird dabei ist, welches einer der beliebtesten Email-Programme ist.

Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!

Mailto-Links sind nicht die einzige Gefahr in Email-Programmen

Neben der bereits beschriebenen Gefahr durch die unentdeckten Anhänge, haben die Forscher noch zwei andere Gefahren entdeckt, die in einigen Email-Programmen enthalten sind. Der erste Angriff wurde von den Autoren mit A1: Key replacement bezeichnet. In diesem Angriff geht es darum, dass Zertifikate, die für eine sichere Signatur benutzt werden teilweise automatisch von dem Email-Client heruntergeladen werden.

Bei 6 von den 20 getesteten Programmen war dies der Fall, sodass die Kommunikation durch diese Email-Programme von einem Man-in-the-Middle-Angriff mitgeschnitten werden kann und somit Signaturen geklaut werden können und für Kriminelle Aktivitäten benutzt werden können.

Der letzte Angriff der von der Gruppe aus Bochum analysiert wurde geht darum, dass eine S/MIME oder PGP Signatur gestohlen werden kann. Um diese Signatur zu erhalten wird erneut ein Mailto-Link verwendet, der so manipuliert wird, dass das Email-Programm diesen als valide PGP Nachricht eines Kommunikationspartner interpretiert und diesen anschließend entschlüsselt. Für diesen Angriff waren 6 der 20 Email-Programme angreifbar, wovon 3 mit der gefährdetsten Stufe O3 eingestuft wurden.

Auswertung
Die gesamten Forschungsergebnisse können auf der Seite der RUB nachgelesen werden.

Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.

Foto des Autors

M.Sc. Jan Hörnemann

Hallo liebe/r Leser/in, mein Name ist Jan Hörnemann. Ich bin TeleTrust Information Security Professional (T.I.S.P.) und beschäftigte mich seit 2016 nahezu tagtäglich mit Themen rund um die Informationssicherheit. Der CeHv10 war meine erste praktische Zertifizierung in dem Bereich. Durch den Abschluss Master of Science in dem Fachbereich Internet-Sicherheit habe ich viele verschiedene Aspekte kennengelernt und versuche diese sowohl in Live Hacking Shows als auch in unserem Blog zu vermitteln. Darüber hinaus bin ich als Informationssicherheitsbeauftragter tätig und vom TÜV für diese Tätigkeit qualifiziert worden (ISB nach ISO 27001)
AWARE7 GmbH - Logo

0209 - 8830 6760

info@aware7.de

Öffnungszeiten
Montag - Freitag
8:00 - 17:00 Uhr

Anfahrtsbeschreibung
Google Plus Code F4X5+M2

Unternehmen

AWARE7 GmbH
Munscheidstr. 14
45886 Gelsenkirchen
Impressum | Datenschutz

Forschung & Entwicklung
Über uns
Karriere

Informationen

Schulungen & Workshops

T.I.S.P.-Expertenzertifikat

Ressourcen

Kostenfreies E-Learning
Erfolgsgeschichten
Downloads
Projekte

ISO 27001 Zertifizierung - AWARE7 GmbH
Profil von AWARE7 GmbH in Ariba Discovery anzeigen