Nieuws

Experts: automatische weergave plaatjes in Gmail is risico

zondag 15 december 2013, 12:43 door Redactie, 5 reacties

De beslissing van Google om afbeeldingen in Gmail automatisch weer te geven is een beveiligingsrisico, zo stellen verschillende experts. Voorheen werden in e-mails ingebedde afbeeldingen standaard in Gmail geblokkeerd, waarbij gebruikers zelf op een link moesten klikken om ze weer te geven.

Google kondigde deze week aan dat het de afbeeldingen via een eigen Google-proxy gaat weergeven, wat gebruikers tegen eventuele risico's moet beschermen, maar verschillende experts zijn het daar niet mee eens. "Dit laat een stalker of andere entiteit met kwade bedoelingen controleren of de e-mail die hij naar een doelwit heeft gestuurd gelezen is", zegt beveiligingsonderzoeker H.D. Moore tegenover CNET.

Uitschakelen

"Hoe meer informatie aanvallers kunnen achterhalen over welke accounts actief zijn, welke gebruikers eerder klikken en hoe succesvol een bepaalde social engineering-truc is, hoe groter de kans op succes bij het aanvallen van die gebruikers", zegt Charles Renert van beveiligingsbedrijf Websense. Renert adviseert Gmail-gebruikers om het automatisch laden van afbeeldingen uit te schakelen.

Google laat in een verklaring weten dat een afzender inderdaad via een unieke URL per ontvanger kan achterhalen welke e-mails zijn geopend, maar stelt dat de proxyserver helpt hij het afschermen van het IP-adres van de ontvanger, alsmede zijn geografische locatie, gebruikte browser en 'andere identificeerbare informatie'.

Proxy

"Het trackingprobleem kan afhankelijk van de implementatie een echt probleem zijn of misschien niet, maar in elk geval is het een gevaarlijke beslissing. Of het helpt het op afstand volgen van gebruikers, of het helpt gedistribueerde denial-of-service (DDoS)-aanvallen", voegt beveiligingsexpert Robert Hansen toe.

De opzet van Google maakt het mogelijk om kwaadaardige requests via de proxyserver uit te voeren, die dan voor een DDoS-aanval gebruikt zouden kunnen worden. Daarnaast is Hansen bang dat Google mogelijk afbeeldingen gaat inschakelen voor bepaalde partners die betalen voor het volgen van gebruikers. Marketingbedrijven zijn in ieder geval blij met de maatregel.

Nigeriaan krijgt 45 maanden cel wegens phishingaanval

'Rotterdammer die 2.000 pc's infecteerde deed het voor de kick'

Reacties (5)

15-12-2013, 14:14 door Anoniem

Ik had het ook direct uitgeschakeld. Als ik een twijfelachtig spam mailtje in mijn inbox krijg wil ik het kunnen openen zonder dat het onthullende data terugzend.

Maar dat vind ik nou ook weer het fijne van gmail, dat je al dit soort dingen kan instellen.

15-12-2013, 16:51 door Anoniem

Was Gmail ooit veilig dan?

Ik gebruik het alvast niet, niets van Google.

Die 'diensten' ook allemaal niet, weg ermee FB, Skype, Twitter, LinkedIn en ga zomaar voort ...

15-12-2013, 17:46 door Anoniem

Wakker worden!

Als je je enigszins serieus druk maakt over je privacy en advertisement tracking, gebruik je geen gmail en ook niet de bijbehorende browser. Gezien het marktaandeel van de browser in Nederland interesseert dat de meeste gebruikers geen ene moer.
Overigens geldt het tracking risico natuurlijk voor wel meer gratis webmail diensten buiten gmail, deze hebben de stap echter nog niet gemaakt naar verplichte html weergave.

Ook voor de vaste mailclient geldt ; bericht weergave in plain text / platte tekst . Emailtracking is namelijk een veel grotere bedreiging voor je privacy dat webtracking omdat de beheerder van het email adressen bestand niet zelden ook al beschikt over n.a.w. data en wel meer. Daar kunnen vele cookies niet tegenop.
De html nieuwsbrief die gebruik maakt van tracking heeft geen verplichte melding zoals we die kennen voor cookies. Waarom niet?
Het is minstens even schadelijk! Wees je er bewust van, als gmail daarvoor nodig is is dat tenminste een goede bijwerking.

Email html nieuwsbrieven tracking, wanneer komt het nou eens een keer op de privacy nieuws radar?

16-12-2013, 21:44 door Anoniem

@Anoniem 16:51
Je gegevens zijn best veilig bij Gmail... Behalve voor Google. (En de NSA, maar daar waren je mails sowieso al niet veilig voor tenzij je PGP o.i.d. gebruikt.)

17-12-2013, 13:09 door Anoniem

In 1998 waarschuwde ik al voor HTML mail. 15 jaar later hebben we nog steeds het zelfde probleem.

(Lang leve Mutt)

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer