Quali sono i "backchannel dei client di posta elettronica non correlati all'HTML" di EFAIL?

5

Gli esempi pubblicati per sfruttare la vulnerabilità della crittografia e-mail EFAIL sembrano utilizzare l'HTML per creare un backchannel per l'exfiltrazione dei dati decrittografati.

Tuttavia, la home page di EFAIL, link , afferma:

Short term: Disable HTML rendering. [...]

Note that there are other possible backchannels in email clients which are not related to HTML but these are more difficult to exploit.

Per quanto posso vedere, tutti gli esempi pubblicati si basano sul caricamento di contenuti remoti (cioè cose collegate da una posta HTML, come immagini o CSS).

  • Perché è consigliabile disattivare completamente il rendering HTML? Non sarebbe sufficiente disabilitare il caricamento di contenuti remoti (che è il default nella maggior parte dei moderni programmi di posta comunque)?
  • Quali altri backchannel ci sono che "non sono correlati all'HTML"? Gli autori hanno elaborato questo da qualche parte?
posta sleske 25.05.2018 - 21:23
fonte

1 risposta

4

All'inizio raccomanderei non solo di leggere la homepage della vulnerabilità, ma il documento reale poiché ha molti più dettagli Le tue domande sono entrambe risposte quando leggi il giornale.

Why is it recommended to completely disable HTML rendering? Would it not be enough to disable loading of remote content (which is the default in most modern mail programs anyway)?

Poiché l'impostazione per disabilitare il contenuto remoto (se esiste) spesso non disabilita tutti i contenuti remoti. Per prendere solo un esempio dal foglio (pagina 20, 21), quanto segue causerà una richiesta a un URL remoto in Thunderbird anche se il caricamento di contenuti remoti è stato disabilitato:

<link href="http://efail.de" rel="preconnect">

What other backchannels are there which are "not related to HTML"? Did the authors elaborate on this somewhere?

Sì, gli autori hanno chiaramente elaborato su questo. A pagina 20 e 21 del documento gli autori elencano il comportamento di molti diversi client di posta riguardo possibili backchannels. E mentre la maggior parte dei backchannels richiede l'HTML, alcuni possono essere causati da normali intestazioni di posta. Ad esempio, secondo il documento, Apple Mail può essere utilizzato per un backchannel come questo:

Remote-Attachment-Url: http://efail.de
    
risposta data 25.05.2018 - 21:48
fonte

Leggi altre domande sui tag