zurück zum Artikel

Wer Links benutzt, um Mails zu versenden, sollte deren Inhalt zuvor genau kontrollieren.

Über Mailto-Links kann man einen Link zum Erstellen einer E-Mail in Dokumente einbetten. Als Parameter kann man den Empfänger und den Betreff angeben. Doch manche E-Mail-Programme unterstützen auch undokumentierte Erweiterungen, mit denen man zum Beispiel beliebige Dateien anhängen kann. Das funktionierte etwa mit Thunderbird auf Linux-Systemen.

Das Format einer Mailto-Links ist

<a href="mailto:ju@heisec.de">Mail an ju</a>

Durch weitere Parameter wie subject=Test kann man auch den Betreff festlegen. In manchen Szenarien kann man sogar mit den Schlüsselwörtern body und attach weitere E-Mail-Elemente spezifizieren, die dann automatisch in einer absende-fertigen Mail landen. So führt dann etwa

?subject=test&attach=/etc/passwd&body=Test-Mail

zur Mail mit der angehängten passwd-Datei im abgebildeten Screenshot. Diesen Sachverhalt konnten Forscher der Ruhr-Uni Bochum [1] mit Thunderbird, KMail und Evolution unter Linux und IBM Notes für Windows reproduzieren. heise Security konnte dies auf einem aktuellen Ubuntu 18.04 mit Thunderbird als Mail-Programm nachstellen.

Diese attach-Parameter sind nicht im mailto-Standard [2] spezifiziert. Wie sich herausstellte, sind auch nicht unbedingt die Linux-Mailer für das Datenleck verantwortlich. Thunderbird etwa entfernte [3] die kurzfristig vorhandene Funktion bereits vor Jahren. Doch das Helferlein xdg-open [4], das Browser wie Chromium zum Öffnen externer Links nutzen, führte die gefährlichen mailto-Erweiterungen durch die Hintertür wieder ein.

(ju [5])

URL dieses Artikels:
https://www.heise.de/-4875586

Links in diesem Artikel:
[1] https://www.nds.ruhr-uni-bochum.de/media/nds/veroeffentlichungen/2020/08/15/mailto-paper.pdf
[2] https://tools.ietf.org/html/rfc6068
[3] https://bugzilla.mozilla.org/show_bug.cgi?id=1613425
[4] https://gitlab.freedesktop.org/xdg/xdg-utils/-/issues/177
[5] mailto:ju@ct.de

Copyright © 2020 Heise Medien