E-Mail: Gefährliche Mailto-Links können Daten stehlen

Eine undokumentierte Erweiterung von Links auf Mailadressen erlaubt Dateianhänge - ein erhebliches Sicherheitsrisiko.

Artikel veröffentlicht am ,
Über Dateianhänge lassen sich Mailto-Links mißbrauchen, um Daten zu exfiltrieren.
Über Dateianhänge lassen sich Mailto-Links mißbrauchen, um Daten zu exfiltrieren. (Bild: Purple Sherbet Photography, Wikimedia Commons/CC-BY 2.0)

Mailto-Links können ein unerwartetes Sicherheitsrisiko darstellen. In einer Publikation von IT-Sicherheitsforschern der Ruhr-Universität Bochum und der Fachhochschule Münster beschreiben diese ein proprietäres Feature, mit dem man über den Mailto-Link direkt einen Dateianhang auswählen kann. Unterstützt wird das beispielsweise von Kmail und Evolution, in manchen Konfigurationen ist das auch in Thunderbird nutzbar.

Stellenmarkt
  1. Consultant Real Estate ERP Systeme (m/w/d) für die Bestandskundenbetreuung
    Haufe Group, deutschlandweit
  2. Systemadministrator (w/m/d) Applikationsbetrieb
    Oberfinanzdirektion Karlsruhe, Karlsruhe
Detailsuche

Mailto-Links sind eine gängige Methode, um Mailadressen auf Webseiten klickbar zu machen. Bei einem Klick wird dann üblicherweise das passende Mailprogramm geöffnet. Meist enthält ein solcher Link nur die Mailadresse, doch über Variablen lassen sich auch etwa der Mailbetreff oder der Inhalt der Mail vorausfüllen.

Mit einem Parameter lassen sich lokale Dateien an Mails anhängen

Doch neben diesen eher harmlosen Features lässt sich in manchen Mailprogrammen über den Parameter Attach direkt eine lokale Datei an die Mail anhängen. Ein Angreifer könnte das etwa ausnutzen, um zu versuchen, einen SSH- oder PGP-Key zu stehlen. Diese befinden sich üblicherweise in Standardpfaden. Einem Nutzer könnte natürlich auffallen, dass sich ein ungewohnter Anhang an der Mail befindet, aber es ist wohl davon auszugehen, dass nicht alle Nutzer dies vor dem Abschicken der Mail prüfen.

Dieses Feature für Dateianhänge ist nicht Teil der Standardspezifikation für Mailto-Links. Es handelt sich um eine inoffizielle Erweiterung, die von einigen Mailprogrammen genutzt wird. Laut der Veröffentlichung wird das Feature in Kmail und Evolution unterstützt, die Standardmailprogramme der Linux-Desktopumgebungen KDE und Gnome. Auch IBM Notes unterstützen das Feature. Thunderbird ist zwar selbst nicht betroffen, kann aber verwundbar sein, wenn die Verarbeitung der Mailto-Links über das Tool xdg-open erfolgt.

Golem Akademie
  1. Advanced Python - Fortgeschrittene Programmierthemen
    27.-28. Januar 2022, online
  2. Penetration Testing Fundamentals
    23.-24. September 2021, online
  3. Linux-Shellprogrammierung
    2.-5. November 2021, online
Weitere IT-Trainings

KDE und Gnome nutzen diesen Attach-Parameter auch intern, daher kann die Funktion nicht einfach entfernt werden. In beiden Programmen wurde nun aber ein Bestätigungsdialog eingeführt. Die Sicherheitslücke in Kmail wird unter der Kennung CVE-2020-11880 geführt, in Evolution lautet diese CVE-2020-11879 und in Notes CVE-2020-4089.

Internet of Crimes: Warum wir alle Angst vor Hackern haben sollten (Deutsch) Gebundene Ausgabe

Die Autoren deuten an, dass es sich möglicherweise nicht um das einzige Sicherheitsrisiko von Mailto-Links handelt. So sieht der Standard vor, dass man nicht nur Betreff und Inhalt von Mails vorgeben, sondern beliebige Mailheader setzen kann. Der Mailto-RFC schreibt dazu lediglich, dass Mailprogramme keine Header in Mailto-Links interpretieren sollten, die gefährlich sein können. Was das genau bedeutet und welche Header gefährlich sind, sagt die Spezifikation nicht.

Nachtrag vom 18. August 2020, 16:17 Uhr

Wie sich inzwischen herausgestellt hat, ist Thunderbird unabhängig von der Version in Kombination mit dem Tool xdg-open verwundbar. Wir haben das im Text klargestellt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


ashahaghdsa 18. Aug 2020

Na ja, wenn ein Programm einen Crashdump o.ä. senden will vielleicht. Aber aus dem...

hab (Golem.de) 18. Aug 2020

Danke, ich habe das mit xdg-open eben im Artikel nochmals klargestellt. Siehe auch die...



Aktuell auf der Startseite von Golem.de
Elektromobilität
BMW gibt sich mit 600 Kilometern Reichweite zufrieden

Reichweite ist für BMW wichtig, aber nicht am wichtigsten. Eine Rekordjagd nach immer mehr Kilometern sehen die Entwickler nicht vor.

Elektromobilität: BMW gibt sich mit 600 Kilometern Reichweite zufrieden
Artikel
  1. Telekom: Vodafone will unseren Glasfaserausbau bremsen
    Telekom
    Vodafone will "unseren Glasfaserausbau bremsen"

    Vodafone habe den eigenen Glasfaserausbau kürzlich für beendet erklärt und nehme den Spaten nicht in die Hand, erklärte die Telekom.

  2. Chorus angespielt: Automatischer Arschtritt im All
    Chorus angespielt
    Automatischer Arschtritt im All

    Knopfdruck, Teleport hinter Feind, Abschuss: Das Weltraumspiel Chorus will mit Story, Grafik und Ideen punkten. Golem.de hat es angespielt.
    Von Peter Steinlechner

  3. Lightning ade: EU will USB-C als alleinige Handy-Ladebuchse vorschreiben
    Lightning ade  
    EU will USB-C als alleinige Handy-Ladebuchse vorschreiben

    Die EU-Kommission will eine einheitliche Ladebuchse einführen. USB-C soll zum Aufladen aller möglichen Kleingeräte verwendet werden.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Asus 27" WQHD 144Hz 260,91€ • Alternate-Deals (u. a. Acer Nitro 27" FHD 159,90€) • Neuer Kindle Paperwhite Signature Edition vorbestellbar 189,99€ • Black Week bei NBB: Bis 50% Rabatt (u. a. MSI 31,5" Curved WQHD 165Hz 350€) • PS5 Digital mit FIFA 22 bei o2 bestellbar [Werbung]
    •  /