Datenklau über Mailto-Links
Wer Links benutzt, um Mails zu versenden, sollte deren Inhalt zuvor genau kontrollieren.
Über Mailto-Links kann man einen Link zum Erstellen einer E-Mail in Dokumente einbetten. Als Parameter kann man den Empfänger und den Betreff angeben. Doch manche E-Mail-Programme unterstützen auch undokumentierte Erweiterungen, mit denen man zum Beispiel beliebige Dateien anhängen kann. Das funktionierte etwa mit Thunderbird auf Linux-Systemen.
Das Format einer Mailto-Links ist
<a href="mailto:ju@heisec.de">Mail an ju</a>
Durch weitere Parameter wie subject=Test
kann man auch den Betreff festlegen. In manchen Szenarien kann man sogar mit den Schlüsselwörtern body
und attach
weitere E-Mail-Elemente spezifizieren, die dann automatisch in einer absende-fertigen Mail landen. So führt dann etwa
?subject=test&attach=/etc/passwd&body=Test-Mail
zur Mail mit der angehängten passwd-Datei im abgebildeten Screenshot. Diesen Sachverhalt konnten Forscher der Ruhr-Uni Bochum mit Thunderbird, KMail und Evolution unter Linux und IBM Notes für Windows reproduzieren. heise Security konnte dies auf einem aktuellen Ubuntu 18.04 mit Thunderbird als Mail-Programm nachstellen.
Diese attach-Parameter sind nicht im mailto-Standard spezifiziert. Wie sich herausstellte, sind auch nicht unbedingt die Linux-Mailer für das Datenleck verantwortlich. Thunderbird etwa entfernte die kurzfristig vorhandene Funktion bereits vor Jahren. Doch das Helferlein xdg-open, das Browser wie Chromium zum Öffnen externer Links nutzen, führte die gefährlichen mailto-Erweiterungen durch die Hintertür wieder ein.
(ju)