4

Для электронных писем с изображениями Thunderbird не отображает изображения, говоря, что это защищает мою конфиденциальность.

Как это защищает мою конфиденциальность, не отображая картинки? Фотографии - это вещи, которые я получаю, а не отправляю.

2 ответа2

8

Большинство почтовых клиентов в наши дни позволяют писать сообщения электронной почты в формате HTML с удаленными ресурсами и, возможно, даже с Javascript. Это огромная проблема конфиденциальности, поскольку она позволяет отправителю электронной почты встраивать изображение (оно не обязательно должно быть изображением, но я думаю, что это самая распространенная тактика), которое размещается на сервере под его контроль (например) http://www.example.net/tracker.jpg .

Когда кто-либо загружает tracker.jpg с этого сервера, отправитель электронной почты может видеть, что изображение было загружено, какой IP-адрес его запрашивал, а также точную дату и время, когда оно было запрошено (также, если оно было запрошено более одного раза). С помощью этой информации отправитель может узнать общее физическое местонахождение и точную дату при каждом прочтении сообщения.

Отправитель может дополнительно определить, кто загрузил изображение, добавив параметры URL в адрес встроенного изображения (например, http://www.example.net/tracker.jpg?targetID=Bob%20Johnson&msgID=123456&sendDate=07012012 .) Произвольное количество параметров. могут быть переданы, и они все будут в конечном итоге в журналах сервера вместе со всей другой информацией.

Указанное изображение также не обязательно должно быть действительным. Это может быть специально созданный файл, использующий ошибки рендеринга изображений в определенном почтовом клиенте, или даже программа, которая отправляет другое изображение эксплойта в зависимости от того, какой почтовый клиент его запрашивает.

«Но, - слышу вы, - вы говорите, - мой веб-браузер уже делает все эти вещи, и никто не говорит, что это опасно!«И вы правы, никто не говорит, что это опасно, даже если каждая из перечисленных выше опасностей так же актуальна для веб-браузеров, как и для почтовых клиентов.

Большая разница в том, что электронная почта предназначена для (обычно) конкретного человека или организации: если вы отправляете электронную почту с ловушкой-минусом на каждую учетную запись на cia.gov , вы можете просто проникнуть в сеть ЦРУ. (можно надеяться, что ЦРУ оставляет удаленный контент заблокированным.) Этот вид целевой атаки похож на фишинговый фишинг и успешно используется для взлома даже самых технологически продвинутых компаний (например, Google). Обратите внимание, что этот вид атаки не ограничивается только фишингом.

Так что, в основном, сводится к тому, что Thunderbird играет безопасно. Он не будет автоматически загружать удаленный контент, но даст вам хорошую большую кнопку, которую нужно нажать, если вы доверяете отправителю.

1

Например, показ изображений внутри электронных писем позволяет потенциальному злоумышленнику узнать ваш IP.

Достаточно включить изображение http://attacker.com/picture.png?limitless в электронное письмо, отправленное на ваш адрес. Как только ваш клиент отобразит его, ваш адрес электронной почты был успешно привязан к вашему IP.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .