已发布的利用 EFAIL 电子邮件加密漏洞的示例似乎都使用 HTML 来创建用于窃取解密数据的反向通道。
然而,EFAIL 的主页https://efail.de/声称:
短期:禁用 HTML 渲染。[...]
请注意,电子邮件客户端中还有其他可能的反向通道,它们与 HTML 无关,但更难利用。
据我所知,所有已发布的示例都依赖于远程内容的加载(即从 HTML 邮件链接的内容,例如图像或 CSS)。
所以:
首先,我建议不仅要阅读漏洞的主页,还要阅读实际的论文,因为它有更多的细节。阅读论文时,您的问题都得到了解答。
为什么建议完全禁用 HTML 渲染?禁用远程内容的加载还不够吗(无论如何,这是大多数现代邮件程序的默认设置)?
由于禁用远程内容(如果存在的话)的设置通常不会真正禁用所有远程内容。仅以论文中的一个示例(第 20,21 页)为例,即使禁用了远程内容的加载,以下内容也会导致对 Thunderbird 中的远程 URL 的请求:
<link href="http://efail.de" rel="preconnect">
还有哪些“与 HTML 无关”的反向渠道?作者是否在某处详细说明了这一点?
是的,作者清楚地阐述了这一点。在论文的第 20 页和第 21 页,作者列出了许多不同邮件客户端关于可能的反向通道的行为。虽然大多数反向渠道都需要 HTML,但有些可能是由正常的邮件标题引起的。例如,根据论文 Apple Mail 可以用于这样的反向通道:
Remote-Attachment-Url: http://efail.de