Datenklau über Mailto-Links

Wer Links benutzt, um Mails zu versenden, sollte deren Inhalt zuvor genau kontrollieren.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 64 Beiträge

(Bild: Pavel Ignatov/Shutterstock.com)

Von
  • Jürgen Schmidt

Über Mailto-Links kann man einen Link zum Erstellen einer E-Mail in Dokumente einbetten. Als Parameter kann man den Empfänger und den Betreff angeben. Doch manche E-Mail-Programme unterstützen auch undokumentierte Erweiterungen, mit denen man zum Beispiel beliebige Dateien anhängen kann. Das funktionierte etwa mit Thunderbird auf Linux-Systemen.

Das Format einer Mailto-Links ist

<a href="mailto:ju@heisec.de">Mail an ju</a>

Durch weitere Parameter wie subject=Test kann man auch den Betreff festlegen. In manchen Szenarien kann man sogar mit den Schlüsselwörtern body und attach weitere E-Mail-Elemente spezifizieren, die dann automatisch in einer absende-fertigen Mail landen. So führt dann etwa

?subject=test&attach=/etc/passwd&body=Test-Mail

Die automatisch erstellte E-Mail enthält unter Umständen sensible Daten.

(Bild: Screenshot)

zur Mail mit der angehängten passwd-Datei im abgebildeten Screenshot. Diesen Sachverhalt konnten Forscher der Ruhr-Uni Bochum mit Thunderbird, KMail und Evolution unter Linux und IBM Notes für Windows reproduzieren. heise Security konnte dies auf einem aktuellen Ubuntu 18.04 mit Thunderbird als Mail-Programm nachstellen.

Diese attach-Parameter sind nicht im mailto-Standard spezifiziert. Wie sich herausstellte, sind auch nicht unbedingt die Linux-Mailer für das Datenleck verantwortlich. Thunderbird etwa entfernte die kurzfristig vorhandene Funktion bereits vor Jahren. Doch das Helferlein xdg-open, das Browser wie Chromium zum Öffnen externer Links nutzen, führte die gefährlichen mailto-Erweiterungen durch die Hintertür wieder ein.

(ju)