![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Sicherheitsforscher haben in diversen E-Mail-Programmen Schwachstellen entdeckt, die bei Verwendung von Mailto-Links ausgenutzt werden k\u00f6nnen. Hier einige Informationen zu diesem Thema.<\/p>\nSicherheitsforscher haben in diversen E-Mail-Programmen Schwachstellen entdeckt, die bei Verwendung von Mailto-Links ausgenutzt werden k\u00f6nnen. Hier einige Informationen zu diesem Thema.<\/p>\n
<\/p>\n
Wer jemandem von einer Webseite aus eine E-Mail schicken m\u00f6chte, kann dies h\u00e4ufig direkt mit einem Klick auf die dort ver\u00f6ffentlichte E-Mail-Adresse tun \u2013 schon \u00f6ffnet sich im E-Mail-Programm automatisch das Nachrichtenfenster an den gew\u00fcnschten Empf\u00e4nger.<\/p>\n
Die Sicherheitsforscher Prof. Dr. Sebastian Schinzel und Damian Poddebniak haben nun im Labor f\u00fcr IT-Sicherheit der FH-M\u00fcnster verschiedene E-Mail-Programme unter die Lupe genommen. Dabei stie\u00dfen Sie auf Sicherheitsl\u00fccken bei Verwendung sogenannter Mailto-Links. Hacker k\u00f6nnten dadurch zum Beispiel Zugriff auf verschl\u00fcsselte Nachrichten bekommen.<\/p>\n
Prof. Schinzel untersucht gemeinsam mit Wissenschaftlern der Ruhr-Universit\u00e4t Bochum bereits seit 2018 unterschiedliche Sicherheitsl\u00fccken im Kontext von E-Mail-Verschl\u00fcsselungen im Labor f\u00fcr IT-Sicherheit. Dabei geht es um die Sicherheit der Verschl\u00fcsselungstechnologien OpenPGP und S\/MIME, wie sie zum Beispiel von Journalisten und politischen Aktivisten, aber auch von Unternehmen und Beh\u00f6rden eingesetzt werden.<\/p>\n
In der neuesten Studie die Sicherheitsforscher wird ein kreativer und zugleich sehr simpler Angriff untersucht. Sie haben gezeigt, wie erschreckend einfach man sich \u00fcber Mailto-Links den privaten Schl\u00fcssel von Absendern zuschicken lassen kann. Mit diesem privaten Schl\u00fcssel kann man verschl\u00fcsselte OpenPGP- oder S\/MIME-Nachrichten entschl\u00fcsseln.<\/p>\n
Beim Erstellen eines Mailto-Links auf Webseiten k\u00f6nnen \u00fcber HTML-Befehle bestimmte Inhalte der E-Mail vorgegeben werden. Neben der E-Mail-Adresse des Empf\u00e4ngers und dem Betreff erzwingen manche E-Mail-Programme, eine vorausgew\u00e4hlte Datei anzuh\u00e4ngen und mitzuschicken. Damit das funktioniert, muss der Hacker den exakten Namen der Datei und ihren Speicherort auf dem Computer eines Absenders kennen. Das ist bei den meisten pers\u00f6nlichen Dateien nat\u00fcrlich schwierig herauszufinden. Der private E-Mail-Schl\u00fcssel hingegen hat immer den gleichen Namen und wird \u00fcblicherweise \u00fcber einen Standardpfad auf dem Computer gespeichert.<\/p>\n
Ein aufmerksamer Absender kann das sehen, aber die meisten Leute achten in der Eile einfach nicht darauf \u2013 sie wollen schlie\u00dflich nur schnell und unkompliziert eine E-Mail verschicken. Die Hersteller von E-Mail-Programmen sind daher in der Pflicht, dieses Problem zu beheben. Vorausgef\u00fcllte E-Mail-Adressen und der Betreff sind unproblematisch, aber es sollte gar nicht erst m\u00f6glich sein, Dateianh\u00e4nge in Mailto-Links einzubinden. \"Wir haben die Mailbetreiber vor unserer Ver\u00f6ffentlichung \u00fcber die Sicherheitsl\u00fccke informiert, sodass mittlerweile Updates verf\u00fcgbar sind.\", so der Entdecker Prof. Dr. Sebastian Schinzel.<\/p>\n