Die Realität ist, dass Programme Daten verarbeiten. Diese Programme können Fehler enthalten, die dazu führen, dass sich das Programm völlig anders als beabsichtigt verhält. Normalerweise passiert unter solchen Umständen, dass das Programm entweder vom Betriebssystem beendet wird oder nur zufälliges, nicht schädliches Verhalten zeigt. Alles, was ein Programm tut, ist jedoch technisch immer noch deterministisch (es sei denn, es handelt sich um Zufälligkeit). Was ein Programm also tatsächlich tut, wenn es auf falsch verarbeitete Daten stößt, ist deterministisch, sodass Angreifer Daten so erstellen können, dass genau em gesteuert wird > was das Programm macht.
Beim Empfang von E-Mails verarbeitet Ihr E-Mail-Client bereits Daten. Daher besteht eine gute Chance, dass ein Angreifer die Kontrolle über Ihr E-Mail-Programm erlangt, indem er Ihnen einfach eine E-Mail sendet. egal ob du es dir tatsächlich ansiehst. Das E-Mail-Programm lädt die E-Mail herunter und zeigt Ihnen beispielsweise den Betreff an. Wenn Sie die E-Mail öffnen, wird Ihr E-Mail-Client wahrscheinlich noch mehr Dinge tun, z. B. das Parsen des HTML-Codes in der E-Mail, das Anzeigen des Inhalts, das Anzeigen von Bildern usw. Bei allem, was er tut (vom Parsen von HTML bis zum Rendern) Bilder, das Rendern von Text, das Herunterladen von E-Mails, das Anzeigen des Betreffs) kann einen Fehler enthalten.
Das Öffnen einer verdächtigen E-Mail ist nur deshalb riskanter, weil mehr Inhalte verarbeitet werden , wenn Sie sie tatsächlich öffnen.
Wenn Sie eine Website (z. B. Google Mail) besuchen und dort eine E-Mail öffnen, sieht das ganz anders aus, da Google Mail nur eine Website wie jede andere ist ... außer dass E-Mails angezeigt werden. Das Problem dabei ist, dass Websites berücksichtigen müssen, dass Sie den Inhalt der E-Mail nicht einfach roh an den Browser senden können, da sich dann möglicherweise schädliches HTML und / oder schädliches JavaScript darin befindet. Technisch unterscheidet sich dies nicht allzu sehr von Websites wie Wikipedia, auf denen Benutzer Artikel schreiben können, die Formatierungen enthalten.
Natürlich verwendet Ihr Browser auch Bibliotheken, um Text zu rendern, Schriftarten zu verarbeiten, Bilder zu verarbeiten usw. Wenn also ein Fehler in einer Bildbibliothek vorliegt und die E-Mail ein schädliches Bild enthält, haben Sie kein Glück und es ist nicht die Schuld von Google Mail. Sie können davon ausgehen, dass die möglichen Sicherheitslücken in Google Mail mit denen des Browsers identisch sind, sowie das Problem mit XSS und anderen webspezifischen Sicherheitslücken.
Dies ist auch der Grund, warum Sie mit Dingen infiziert werden Selbst wenn Sie keine verdächtigen Websites besuchen (und die Leute meinen damit normalerweise Porno-, Streaming- und Warez-Websites), liegt dies daran, dass selbst nicht verdächtige Websites Anzeigen aus verschiedenen Netzwerken schalten. Wenn also ein Angreifer ein Werbenetzwerk irgendwie infiziert, auch die Nicht-Websites Verdächtige Websites werden Ihnen Malware liefern. Technisch gesehen ist es unsicher , Inhalte von Drittanbietern zu verwenden, die Sie nicht kontrollieren. Überlegen Sie, was passiert, wenn ein Angreifer es schafft, ein CDN zu steuern, das JQuery oder Bootstrap oder was auch immer bereitstellt, wo Tausende von Websites es verwenden. Dann enthalten alle diese Websites schädliches Javascript. Um dies zu verhindern, gibt es SRI, aber ich weiß nicht, wie gut dies derzeit unterstützt wird.