防止自动下载图片如何有助于保护我的隐私?

信息安全 电子邮件 隐私 客户端
2021-08-19 04:11:07

在 Microsoft Outlook 中查看某些电子邮件时,如果发件人已包含图像,我会在电子邮件顶部显示以下选项:

为帮助保护您的隐私,Outlook 已阻止自动下载此邮件中的某些图片

“为帮助保护您的隐私,Outlook 已阻止自动下载此邮件中的某些图片”

我不确定阻止在电子邮件中下载图像将如何保护我的隐私。这主要是为了让那些可能在我背后看着我的人看不到我的电子邮件的视觉内容吗?还是有更多的技术原因;例如,为了防止在图像格式本身中使用某种漏洞利用(例如What is the corrupted image evidence?它是如何工作的?)?

如果是后者,为什么通知会特别提到隐私,而不是安全?我想这最后一个问题可以归结为“因为写通知的男孩/女孩写了‘隐私’”,或者甚至“因为‘隐私’是公众可以涉及的术语之一”,但我会有兴趣知道是否还有更多内容。

4个回答

首先,重要的是要了解客户不显示什么样的图像。在您的情况下,正如消息所述,这些是本来可以“下载”的图像。这意味着这些不是嵌入在电子邮件中的图像(多部分等)而是引用的 (HTMLimg等)

现在想象一下,如果您的客户端从发件人指定的服务器下载发件人指定的图像,发件人可以获得什么样的信息。

他当然会得到: 确切的时间,非常重要的是,确认您查看了该消息他可以很容易地追踪到你。

谁会想要这样的信息,又是为了什么?垃圾邮件机器人可以验证地址是否有效并且正在使用中...

它实际上是如何工作的? 假设您正在查看一个HTML -Mail,它会包含类似这样的内容<img src="http://sendercontrolledserver/didviewmail.jpg?address=youremail@yourprovider" width="1" height="1" />如果您的客户端请求该图像,您的客户端不知道服务器上会发生什么,服务器传递的资源根本不需要是图像,客户端在加载它之前怎么知道。你也看不到那个尺寸。

这些是您的私人个人信息,泄露它们将构成隐私威胁。

这样做的一个原因是自动图像加载可用于跟踪用户打开邮件(以与阅读回执相同的方式)。

假设一家营销公司向一千个用户发送一封邮件,并为每个用户在邮件中放置一个指向不同图像的链接(因此用户一得到 image0001.jpg,用户二得到 image0002.jpg 等等),并托管他们的网络服务器上的图像。

电子邮件营销公司已经使用了这种技术,甚至将 1x1 像素图像包含到邮件中,否则邮件中不包含它们,

当这些图像从他们的网络服务器加载时,他们知道用户已经打开了邮件并查看了图像(因为图像对用户来说是唯一的),本质上允许他们跟踪用户的行为,这可能被认为是对隐私的侵犯。

所以有些邮件客户端采用默认不加载邮件中图片的方式来保护用户隐私。

当有人向您发送电子邮件时,他们对您的个人了解甚少——尤其是当您使用公共电子邮件服务时。

发送者可以包括引用互联网上其他服务器的链接和/或图像。如果您的客户自动下载了其中一张图片,这与您在不阅读链接的情况下自动单击链接是同义词。特别是他们可以从中确定的信息类型是您用于阅读电子邮件的客户端(因为该客户端将使用其自己的服务,它可能会通过 User-Agent 标头通知服务器其下载)。更不用说你的家庭 IP 地址了。

现在,如果发件人拥有图像所指的服务器,他们很可能拥有您的客户端,这可能是他们可以利用的旧版本(安全性),并且肯定拥有您的 IP 地址(隐私),他们可以使用它来攻击您亲自。

因此,您会发现优质论坛 CMS(例如我自己的咳嗽:))利用图像代理通过站点服务器下载用户上传的图像来保护工作人员的身份。

使用标签在 HTML 电子邮件中引用的图像<img>驻留在远程主机服务器上,并且不作为“嵌入式附件”包含在电子邮件中。托管图像的远程服务器可以跟踪下载图像的 IP 地址,并且随着内部重定向 URL(如 StackExchange 用于为动态内容提供“永久链接”的 URL)的出现,服务器可以匹配请求通过检查请求 URL 的某些独特部分(可能与您的电子邮件地址或其他人类可读的识别信息没有任何相似之处或有任何数学关系),将图像添加到消息发送到的电子邮件地址。

因此,通过下载图像,您不仅告诉远程服务器您收到了电子邮件(因此电子邮件地址是有效的),而且您打开了它(因此至少对主题和/或发件人)。

正如您与之有在线关系的大公司所使用的那样,这或多或少是无害的;他们可能已经有了您的电子邮件地址,因为您将其提供给了他们,而基于您下载图像的信息只是营销绒毛,告诉他们您有哪些电子邮件,但还没有发现足够有趣而无法打开。对于垃圾邮件,下载单个图像可以将您的电子邮件地址“列入绿名单”,然后将其推销给其他垃圾邮件发送者。对图像的请求还可能导致安装跟踪 cookie(或检查系统上已有的 cookie),这可能会损害您的隐私。最后,是的,存在各种图像格式的已知漏洞,可以让攻击者在您的计算机上安装恶意软件。