Menú principal

jueves, 21 de junio de 2012

Riesgos de seguridad con imagenes en mensajes de e-mail

Desde Office-Watch muestran como a través de una imagen monitorizada se puede obtener información del sistema que utiliza el cliente y que es enviada, en este caso, desde Microsoft Outlook a Internet. Realmente,no hay nada de nuevo en este tema, solamente se está mostrando la información que normalmente es enviada y que se se puede obtener colocando imágenes en correos electrónicos. En el ejemplo publicado, cada visualización del correo muestra una imagen con un aspecto diferente en función del dispositivo, software cliente, configuración, e incluso el tiempo. En la captura siguiente se puede ver un ejemplo de la información que lleva asociada la imagen:

Figura 1: Imagen prueba de concepto en Office Watch

Como se puede observar se obtiene la siguiente información:
  • El sistema operativo
  • Outlook o versión del navegador
  • Configuración de idioma
  • Ubicación aproximada
  • Cuantas veces la imagen se ha mostrado con ayuda de la cookie
Toda esta información se basa en los datos enviada para solicitar una imagen a mostrar dentro de Microsoft Outlook o en el nevegador del receptor del correo. La información es importante, ya que por ejemplo, sabiendo el sistema operativo, el navegador que se utiliza y la versión se puede realizar un ataque dirigido sobre una vulnerabilidad específica disponible.

Es cierto que las implicaciones de privacidad de las cookies son bien conocidas por los usuarios de los navegadores, pero quizá no tanto para quién utiliza un gestor de correo como es Microsoft Outlook. Con una cookie una empresa puede realizar un seguimiento del uso de la web desde el momento en el que el usuario pincha sobre "Mostrar las imágenes de un correo electrónico". Debes, por tanto, tener cuidado al utilizarla en los clientes de correo electrónico de tu Mac OS X.

En el caso de los dispositivos iOS, nosotros publicamos hace ya algún tiempo los riesgos de seguridad en la configuración por defecto de Mail en iOS ya que la opción de mostrar imágenes se configura a nivel global y no correo a correo, lo que hace que sea mucho menos granular su uso, y por defecto viene activada, por lo que casi todo el mundo acabe por dejarla así.

Figura 2: USER- AGETN desde IOS pidiendo una imagen manipulada

En dispositivos móviles, se puede detectar el dispositivo físico - iPad, iPhone, Android, etc -al igual que la versión del sistema operativo iOS concreta, ya que tiene un USER-AGENT demasiado parlanchín, y como ya se vio, manipulando las imagenes en correos electrónicos en HTML, es posible hacer ataques CSRF para atacar una Intranet, ganar votaciones en la web o dinero con la publicidad mal configurada.

No hay comentarios:

Publicar un comentario en la entrada

Artículos relacionados

Otras historias relacionadas

Entradas populares