Una de las cosas que Apple mejoró en la privacidad de iOS Mail fue la de evitar la carga de imágenes de forma automática, queja habitual de los profesionales de la seguridad. En un mensaje de correo electrónico escrito en HTML en el que se ha embebido una imagen que apunta a un servidor controlado por el remitente, se podría conocer la dirección IP del receptor del mismo. Conocer la dirección IP, implica que, con más o menos exactitud se pueda saber dónde está una persona, especialmente si está conectado desde su casa y no ha tomado ninguna medida especial de protección.
No solo localizar la dirección IP del receptor del mensaje, también la versión de software del dispositivo por medio del USER-AGENT, también podría ser utilizado para atacar servidores web que estuvieran en la ubicación interna de la red del receptor del mensaje, ya que se podría poner una URL maliciosa para forzar al cliente de correo a hacer un ataque de SQL Injection o usar esa carga para hacer un ataque CSRF a un dispositivo como el router de conexión WiFi. Por todo eso, Apple mejoró la seguridad de Mail en iOS 6, quitó la carga de imágenes por defecto y añadió una opción para que mensaje a mensaje el usuario pudiera decidir en qué correos quiere cargar las imágenes externas y en cuales no.
 |
| Figura 1: En Mail de iOS 6 la carga de imágenes dejó de ser automática |
Ahora Google ha decidido justo lo contrario. Lo que era una medida de seguridad correcta lo ha cambiado a que por defecto todas las imágenes externas se deban cargar siempre por defecto, lo que haría que cualquiera que te envíe un e-mail a tu cuenta de correo electrónico de Gmail pueda conocer tu dirección IP de conexión. Sin embargo, según dice Google la carga será a través de servidores Proxy suyos, por lo que evitaría que se enviara la dirección IP del cliente. Además, ahora el número de personas que pueden enviar un mensaje a tu buzón de Gmail son también los contactos de Google+ por lo que ya ha extendido el número de personas que saben tu dirección de correo electrónico y que pueden conocer tu dirección IP de conexión.
 |
| Figura 2: Opciones de carga de imágenes externas en cuenta de Gmail desactivada |
A pesar de que esto será así, quedan aún muchos aspectos por revisar, como ver que pasa con URLs a direcciones IP locales, o qué pasa con las peticiones de servidores Proxy de Google. Para dejar la configuración anterior, es decir, que se pueda elegir correo electrónico a correo electrónico en cuál se quiere cargar la imagen externa y en cuál no, se debe ir a las opciones de configuración y seleccionar la opción de Preguntar antes de mostrar imágenes externas.
No se suponía que lo que habían hecho es descargarse ellos las imágenes y luego enviarlas al cliente de Gmail? De esta forma solo sabrías la IP de Google.
ResponderEliminarEstáis equivocados. El enviar mails a un contacto de g+ es precisamente para no revelar tu email. Puedes mandar un email sin saber el email del destinatario, si este tiene g+.
ResponderEliminarSólo sabrán la dirección de correo si se responde al correo recibido desde g+
ResponderEliminarHay que leer un poquito mejor los cambios que han realizado y no sólo por encima.
En cuanto a lo de las imágenes... No mola nada, pero al menos puede desactivarse.
Esta muy equivocada la noticia, es mejor enterarse como funcionan las cosas antes de criticarlas.
ResponderEliminarDeberíais aclarar la noticia: las imágenes las descargará Google y se linkan a través de un proxy, precisamente para filtrar ataques: http://gmailblog.blogspot.com/2013/12/images-now-showing.html
ResponderEliminarGoogle habilita esto para no provocar problemas al usuario, filtrando ellos todos los problemas que citáis.