MobilCom: EMail-Sicherheitsloch weiter offen
Das gestern bekannt gewordene Sicherheitsloch bei MobilCom ist noch nicht geschlossen (Stand 21.
Das gestern bekannt gewordene Sicherheitsloch bei MobilCom ist noch nicht geschlossen (Stand 21. Januar 1999, 17:30 Uhr): Wer die URL ausspioniert, über die der Besitzer eines MobilCom-Postfachs auf eine EMail zugreift, kann darüber die Nachricht ebenfalls lesen. Durch Ändern des CMDNO-Parameters in dieser URL ist es ihm sogar möglich, EMails mit dem Absender des Postfach-Besitzer zu versenden oder dessen EMails zu löschen.
Das Ausspionieren der URL ist einfach: Der Angreifer muß seinem Opfer lediglich eine EMail zusenden, die einen Link auf den Server des Angreifers enthält. Klickt der Empfänger diese URL an, erfährt der Server über das WWW-Protokoll HTTP den Referer, also genau die URL der EMail. MobilCom-Kunden sollten also keine Links in EMails anklicken, die sie mit dem Web-Server lesen.
Das Berliner Golem Networks gibt an, man habe MobilCom bereits vor zwei Tagen ĂĽber das Problem informiert. Dennoch haben die Verantwortlichen dort noch immer keine GegenmaĂźnahmen getroffen. (ad)
