La realtà è che i programmi elaborano i dati. Questi programmi possono contenere bug che causano il comportamento del programma in modo completamente diverso da quello previsto. Di solito ciò che accade in tali circostanze è che il programma verrà terminato dal sistema operativo o si impegna in un comportamento casuale non dannoso. Tuttavia, tutto ciò che fa un programma è tecnicamente ancora deterministico (a meno che non sia coinvolta la casualità) - quindi ciò che un programma fa quando incontra i dati che elabora è deterministico, così gli attaccanti sono in grado di costruire i dati in un modo per controllare esattamente cosa fa il programma.
Quando si ricevono e-mail, il client e-mail sta già elaborando i dati, quindi c'è una buona probabilità che un utente malintenzionato possa assumere il controllo del proprio programma di posta elettronica semplicemente inviandoci una e-mail, non importa se si guarda effettivamente a esso. Il programma di posta elettronica scaricherà l'e-mail e visualizzerà per esempio il Soggetto. Quando apri l'e-mail, il tuo client e-mail probabilmente farà ancora di più, come analizzare l'HTML nell'e-mail, visualizzare i contenuti, visualizzare le immagini, ecc. In tutto ciò che fa (dall'analisi HTML, al rendering delle immagini, per rendere il testo, per scaricare e-mail, per visualizzare l'oggetto) ci può essere un bug in esso.
Aprire un'e-mail sospetta è più rischioso perché più materiale viene elaborato quando lo si apre effettivamente.
Quando visiti un sito web (come Gmail) e apri una e-mail, le cose sono molto diverse perché GMAIL è solo un sito web come un altro .... tranne che visualizza E-mail per te. Il problema è che i siti Web devono tenere conto del fatto che non è possibile inviare il contenuto della posta elettronica in modo raw al browser, perché in questo caso potrebbe esserci un codice HTML dannoso e / o un codice JavaScript pericoloso. Tecnicamente questo non è molto diverso da siti come Wikipedia dove gli utenti possono scrivere articoli che contengono formattazione.
Naturalmente, il tuo browser utilizzerà anche le librerie per il rendering di testo, i caratteri di elaborazione, le immagini di processo ecc. quindi se c'è un bug in una libreria di immagini e l'e-mail contiene un'immagine dannosa, allora sei sfortunato ed è non è colpa di GMAIL. Puoi aspettarti che le possibili vulnerabilità di sicurezza con GMAIL siano le stesse del browser e il problema delle vulnerabilità di sicurezza XSS'n'Co.
Modifica: Questo è tutto. anche il motivo per cui ti infetti materiale anche quando non visiti siti sospetti (e la gente di solito significa porno, streaming, siti warez da quello) è perché anche i siti non sospetti pubblicano annunci da reti diverse, quindi se l'attaccante infetta in qualche modo una rete, anche i siti non sospetti ti serviranno malware. Tecnicamente è insicuro utilizzare contenuti di terze parti che non controlli. Pensa a cosa succede quando un utente malintenzionato riesce a controllare un CDN che serve jquery o bootstrap o qualsiasi altra destinazione in cui migliaia di siti lo utilizzano, quindi tutti questi siti contengono javascript dannosi. Per evitare che ciò accada, c'è questo: link ma non so quanto sia ben supportato questo è il momento.