No solo localizar la dirección IP del receptor del mensaje, también la versión de software del dispositivo por medio del USER-AGENT, también podría ser utilizado para atacar servidores web que estuvieran en la ubicación interna de la red del receptor del mensaje, ya que se podría poner una URL maliciosa para forzar al cliente de correo a hacer un ataque de SQL Injection o usar esa carga para hacer un ataque CSRF a un dispositivo como el router de conexión WiFi. Por todo eso, Apple mejoró la seguridad de Mail en iOS 6, quitó la carga de imágenes por defecto y añadió una opción para que mensaje a mensaje el usuario pudiera decidir en qué correos quiere cargar las imágenes externas y en cuales no.
Figura 1: En Mail de iOS 6 la carga de imágenes dejó de ser automática
Ahora Google ha decidido justo lo contrario. Lo que era una medida de seguridad correcta lo ha cambiado a que por defecto todas las imágenes externas se deban cargar siempre por defecto, lo que haría que cualquiera que te envíe un e-mail a tu cuenta de correo electrónico de Gmail pueda conocer tu dirección IP de conexión. Pero no solo eso, ahora el número de personas que pueden enviar un mensaje a tu buzón de Gmail son también los contactos de Google+ por lo que ya ha extendido el número de personas que saben tu dirección de correo electrónico y que pueden conocer tu dirección IP de conexión.
Figura 2: Opciones de carga de imágenes externas en cuenta de Gmail desactivada
Para evitar esto y dejar la configuración anterior, es decir, que se pueda elegir correo electrónico a correo electrónico en cuál se quiere cargar la imagen externa y en cuál no, se debe ir a las opciones de configuración y seleccionar la opción de Preguntar antes de mostrar imágenes externas y volverás a tener un poco m´s de privacidad otra vez en tu vida. Solo un poco.
Publicado en Seguridad Apple - Google+ - RSS - Eleven Paths - El lado del mal
Continúar leyendo...