Avatar von ju

mehr als 1000 Beiträge seit 18.05.2000

So ...

Nur weil du dir das nicht vorstellen kannst, heißt es eben nicht, dass es nicht möglich wäre. Wenn uns 20 Jahre (In-)Security etwas gelehrt haben, dann dass es fast immer einen Weg gibt, ein potentielles Sicherheitsproblem in ein ganz reales zu verwandeln. Gerade die jüngere Geschichte ist voll von Beispielen für "das lässt sich nicht exploiten", die dann doch ausnutzbar waren.

Zu efail ohne HTML: Wenn ich ein wenig abseits normaler Wege denke, fallen sogar mir spontan gleich ein bis zwei Möglichkeiten ein, wie man geheime Informationen auch ganz ohne HTML exfiltirieren könnte. Wie wäre es zum Beispiel mit einem an die Mail angehängten und verschlüsselten (weil geheimen) PDF in das ich Exfiltration Gadgets reinschieße? Bist du dir sicher, dass da nichts geht? Meine Erfahrung sagt mir, die Chancen stehen gut, dass sich das umsetzen lässt.
Dass schon ich da einfache Angriffsvektoren finde, bedeutet: Jemand, der in dieser Beziehung richtig kreativ ist, wird sicher mehr und elegantere Wege finden.

bye, ju

PS: Aber natürlich wird nie ein PGP-Nutzer, der all seine Sinne beisammen hat, Teufelszeug wie PDF nutzen, richtig?

Bewerten
- +
Anzeige