E-mail eenvoudig 'af te luisteren' met Javascript

Dat via e-mail allemaal virussen worden verspreid weten we nou zo onderhand allemaal wel, maar het is nu ook gebleken dat met behulp van een paar regels Javascript het mogelijk is om andermans e-mail te onderscheppen. Als de ontvanger van een e-mailtje (met dit Javascriptje) het mailbericht doorstuurt, kan de oorspronkelijk verzender zien wat de ontvanger er bij geschreven heeft. De mogelijkheid om op deze manier e-mail te onderscheppen, de zogeheten reaper exploit, werd al in oktober 1998 ontdekt door Carl Voth. Een simpel voorbeeld waarbij deze eploit (goed?) te gebruiken is, is bij het solliciteren per e-mail. Als de sollicicatiemail wordt doorgestuurd binnen het bedrijf kan de sollicitant achterhalen hoe er bij het bedrijf over hem gedacht wordt. Dit kan hem weer een gunstige positie verschaffen bij een eventueel sollicitatiegesprek. Hieronder een gedeelte uit het artikel van WebWereld:

De truc werkt alleen als de ontvanger van de e-mail een e-mailprogramma gebruikt waarmee html-mail gelezen kan worden. Gebruikers van het populaire programma Microsoft Outlook kunnen daardoor slachtoffer worden van het Javascript.

Internetters die Eudora als e-mailprogramma hebben, lopen daarentegen geen kans dat hun e-mailberichten op deze manier onderschept worden. Hotmail en andere webmaildiensten verwijderen Javascript-programma's automatisch.

Met dank aan PCD voor de tip.

Door Robin van Rootseler

Developer

Feedback • 07-02-2001 14:13 50

07-02-2001 • 14:13

50

Bron: IDG WebWereld

Lees meer

Eudora wordt opensource
Eudora wordt opensource Nieuws van 12 oktober 2006
Besmetting mogelijk via mediacontentplayers
Besmetting mogelijk via mediacontentplayers Nieuws van 1 maart 2002
Nieuw gat in Hotmail gevonden
Nieuw gat in Hotmail gevonden Nieuws van 21 augustus 2001
Bedrijfsnieuws

Reacties (50)

-Moderatie-faq
50
47
37
14
1
0
Wijzig sortering

Sorteer op:

Weergave:
Jaymz 7 februari 2001 14:16
Je zou je bijna gaan afvragen waarom je Outlook nog gebruikt, niet zozeer om het programma, of de brakheid daarvaan, meer eerder wegens de vele exploits, en andere leuke geintjes die andere ermee kunnen uithalen.

* 786562 Jaymz
Verwijderd @Jaymz7 februari 2001 14:55
Hoewel je gedeeltelijk gelijk hebt dat het (ook) om Outlook gaat, is het jammer dat het als zodanig ter sprake wordt gebracht in het artikel, het komt nogal suggestief over en is koren op de molen van...

Zoals GaMeOvEr ook al zegt, is het een exploit voor mailproggies die HTML kunnen lezen, da's niet specifiek of alleen Outlook.

Wat mij in het geheel verbaast is dat het in 1998 al bekend was, bij mij is het nu 2001, daar zit drie jaar tussen.
Ik vraag me dan ook af:

1) lezen we hier oud of al eerder geplaatst nieuws
2) heeft het drie jaar geduurd voordat het nieuws bekend gemaakt werd
3) zijn er nu pas de eerste "slachtoffers"
4) als het al drie jaar bekend is, waarom heeft MS dan geen maatregelen getroffen

Ik begrijp wel wat er staat, maar ik snap niet veel van die drie jaar, ik neem aan dat de "ontdekkers" drie jaar geleden wel aan de bel hebben getrokken? Heeft MS er niets aan gedaan dan?

* 786562 TgF

edit:

typo ;)
flymuts @Verwijderd7 februari 2001 15:31
Ik begrijp wel wat er staat, maar ik snap niet veel van die drie jaar, ik neem aan dat de "ontdekkers" drie jaar geleden wel aan de bel hebben getrokken? Heeft MS er niets aan gedaan dan?
Jawel hoor. Outlook Email security update. 95% van de problemen de wereld uit, maar iedereen is de lui om die (flinke) patch te draaien. Blokkeert .exe, .vbs etc. en ook javascript in email.
Their solution is to suggest that the customer can choose to prevent such attacks by turning off email scripting.
(Van de link boven-aan)
Dit doet dus die patch voor je.
Verwijderd @flymuts8 februari 2001 09:13
Volgens mij is het probleem tweeledig. Aan de ene kant maakt microsoft de fout om de IE engine te gebruiken voor Outlook (dus HTML+Javascript en weet ik veel wat nog meer)
Op zich is tekstopmaak in email helemaal geen probleem, en HTML is daar prima voor, zolang de ondersteuning beperkt blijft tot 'zichtbare' zaken, lettertypen, kleuren, plaatjes en links.

Daarnaast is de gebruiker het probleem:
'heej een mailtje "I LOVE YOU" zou dat dat virus zijn??? nah dat zou xxx@xxx.xxx mij nooit sturen, openen maar!!!!'
Voor de 'clueless' gebruiker die alles rucksichtlos (sp?) opent is zo'n securitypatch de enige bescherming tegen zichzelf, maar voor een iets meer 'gevorderde' gebruiker (zoals denk ik de meeste mensen die hier komen) is die patch niet bruikbaar, want wat nou als ik van een collega of een leverancier een patch voor [willekeurig programma] wil ontvangen per mail, in de vorm van een selfextracting .exe???
flymuts @flymuts8 februari 2001 12:29
want wat nou als ik van een collega of een leverancier een patch voor [willekeurig programma] wil ontvangen per mail, in de vorm van een selfextracting .exe
Office XP heeft de functionaliteit om alle .exe en overige zut te weren, behalve daar waar een certificaat aanhangt. (Zo verleg je het probleem ;) )
Ten tweede worden de meeste patches naar mijn ervaringen verspreid via links naar web/ftp sites of "auto-updaters", dus dat het nu niet via email kan is IMHO niet zo'n probleem.
GaMeOvEr @Jaymz7 februari 2001 14:22
Mwoah, beetje kort door de bocht.
De truc werkt alleen als de ontvanger van de e-mail een e-mailprogramma gebruikt waarmee html-mail gelezen kan worden. Gebruikers van het populaire programma Microsoft Outlook kunnen daardoor slachtoffer worden van het Javascript.
Dus doordat Outlook een bepaalde functionaliteit ondersteunt, die uitgebuit kan worden is dit een exploit van Outlook specifiek ? Andere Email-clients die html-mail kunnen lezen zullen er net zo goed last van hebben, alleen outlook word hier genoemd omdat het (waarschijnlijk) het grootst verspreid en bekendst ( :? ) is.
belal @GaMeOvEr7 februari 2001 15:26
Dus doordat Outlook een bepaalde functionaliteit ondersteunt, die uitgebuit kan worden is dit een exploit van Outlook specifiek ? Andere Email-clients die html-mail kunnen lezen zullen er net zo goed last van hebben, alleen outlook word hier genoemd omdat het (waarschijnlijk) het grootst verspreid en bekendst is.
Het is meer omdat MS een protocol implementeerd in een e-mail pakket dat daar helemaal niet thuis hoort. HTML is GEEN e-mail protocol. Vele mailpakketten kunnen er daarom niet mee omgaan en gelukkig maar ook, anders zouden alle mailers zo lek als een mandje zijn.

Vergis je niet, ik maak dagelijks gebruik van outlook en moet zeggen dat het niet zo bagger is als sommigen doen blijken. Echter vind ik het wel storend dat MS een protocol standaard gebruikt voor e-mail dat daar helemaal niet voor is bedoeld.
Bleh! @belal7 februari 2001 15:57
NOTE:
HTML is géén protocol maar een Markup Language...
Nu haal je de dingen een beetje door elkaar! :)
4of9 @belal7 februari 2001 18:18
Dat jij het niet nodig hebt beteknd niet dat het nutteloos is.

Ik heb een tijdje als inkoper gewerkt bij een computer bedrijf en als een grote leverancier bijvoorbeeld een partij heel goedkope HD's binnen kreeg, kregen wij als inkopers een mailtje waarin we meteen konden reageren met aantal etc erbij. (hiervoor word oa javascript gebruikt) en dat was toch wel heel makkelijk.

en er zijn vast wel meer toepassingen waarbij het gebruikt word.
Jordi @belal7 februari 2001 15:53
HTML vind ik dan zo erg nog niet in een mailtje, maar Javascript is _nergens_ voor nodig. Waar gebruikt een normaal mens dat voor? Een 'hoe laat is het' scriptje in je mail? Schei toch uit.
Jordi @belal7 februari 2001 19:01
Ik kan me voorstellen dat dat heel gemakkelijk is... maar een administrator account zonder wachtwoord is ook 'heel gemakkelijk', nooit meer dat ge-emmer met vergeten passwords! ;)
Maar zonder gein, is een linkje naar een pagina op een site in zo'n email niet afdoende? Moet dat per se in de mail zelf? Tja, makkelijk is het wel natuurlijk, maar of het ook veilig is...
Jaymz @GaMeOvEr7 februari 2001 15:11
Dit is niet zozeer m'n gal spuwen op Outlook. Noem het maar één van de vele druppels.

Outlook op zich vind ik een prima pakket, 't is alleen zo jammer dat het zo vaak (negatief) in de publiciteit komt.

Misschien komt het wel dat het een product van MS is. Op een of andere manier hebben die producten een grote aantrekkingskracht op (negatieve) publiciteit. (en direct een 'bewijs' waarom het niet altijd positief is als je bekend bent)
blouweKip @Jaymz7 februari 2001 17:31
MS producten worden nog veel gebruikt, outlook ook, eventuele fouten in die software treffen dus vele mensen, vandaar dat er dus ook veel (vaak terechte) kritiek op outlook (e.a) is....

Er komen dus niet meer negatieve reacties omdat ms zo "bekend" is, maar omdat een fout in een MS product als outlook nu eenmaal meer overlast veroorzaakt...

Dat MS voor een grote softwareboer ook vaak knullige en slordige fouten maakt met zn software versterkt die negatieve kritiek ook nog eens (en terecht)
Contagion @GaMeOvEr7 februari 2001 23:22
De vraag is, zitten mensen wel te wachten op deze vorm van 'functionaliteit'.

Ik vind dat een mailprogramma niks meer zou moeten doen als een plain tekst mailtje zenden en GEEN html of andere opmaakcodes erin. Een mail is om snel verzonden en snel gelezen te kunnen worden overal en altijd dus ook zonder speciale mailclient (zeg: telnet mailserver 110 :))

Daarom gebruik ik al jaren Eudora 3 die wel iets met styled tekst kan (rtf) maar verder ook niks. Als ik zonodig opmaak erbij wil zend ik wel een attachment.

Hoe vaak je inderdaad wel niet problemen hoort met Outlook is verbazingwekkend.
Verwijderd 7 februari 2001 14:17
Hmm zou Echelon dan ook gewoon een java-scripje zijn :? }>
@r!k 7 februari 2001 14:56
Jullie zien het helemaal verkeerd.

Dit is geen bug, dit is een "feature" :)
GraveR 7 februari 2001 17:20
Gebruikers van Netscape kunnen de javascript-functionaliteit uitschakelen door in de 'Advanced'-instellingen het vinkje bij 'Enable Javascript for news and mail' weg te halen.
deviltje 7 februari 2001 14:35
Het begint wel heel erg te worden met die html-mails. met Eudora kan je ook html-email bekijken deze zou dus ook last van deze exploit kunnen hebben ( al geloof ik dat je wel javascripts kan uitzetten ).

Alleen snap ik niet helemaal hoe dit nou precies werkt.. email wordt doorgestuurd naar iemand anders en dan geforward naar originele verzender ofzo ??

is dit niet weer ergens tegen java-script gedachte in?

werkt het ook met netscape mail ???
whigger @deviltje7 februari 2001 14:44
Hier staan de applicaties die [mogelijk] worden aangetast.

Vast een quote uit het geheel:
The exploit takes advantage of DHTML functionality in Internet Explorer 4.0 which is used by Outlook 98. Outlook Express has not been tested but is presumed to be equally vulnerable. Any other email clients that use Internet Explorer as their HTML engine (eg. Eudora?) are likely vulnerable as well. The JavaScript content is easily coded to survive forwarding through other HTML-based email clients even if they do not support the features in question. It is important to note, therefore, that the user of Netscape Mail (for example) is also indirectly vulnerable to this exploit if he forwards such a message directly or indirectly to a user of an Internet Explorer based client.
Killemov @deviltje7 februari 2001 14:46
Reaper exploit:
It is important to realize that although other HTML-capable clients may not be directly vulnerable to this exploit, they are certainly indirectly vulnerable and contribute to the problem if they are designed to forward executable content. This is true of the Mail component of Netscape Communicator 4 and is most likely true of others as well.
Verwijderd @deviltje7 februari 2001 14:52
Alleen snap ik niet helemaal hoe dit nou precies werkt.. email wordt doorgestuurd naar iemand anders en dan geforward naar originele verzender ofzo ??
Volgens mij kan in outlook (express) een Javascriptje niet stiekum een mailtje aanmaken en dit versturen zonder dat de gebruiker dit door heeft. Maar dat doet dit scriptje ook niet. Dit scriptje post de email naar een webpagina. Een webpagina openen e.d. mag namelijk wel vanuit een email. De web pagina die het mailtje binnenkrijgt kan dit vervolgens opslaan of er wat dan ook mee doen.

Zo heel erg simpel te gebruiken is het dus (gelukkig) nog net niet. Je moet wel een servertje hebben staan om de berichtjes op te vangen. ;)
Verwijderd 7 februari 2001 14:17
waar vind ik die code ? :-)
morpheus @Verwijderd7 februari 2001 14:20
met simpel zoeken en volgen van de links

zie sourcecode onderin

http://www.geocities.com/ResearchTriangle/Facility/8 332/reaper-exploit-release.html
Verwijderd @Verwijderd7 februari 2001 14:22
Voorbeeldcode is 2 clickjes hiervandaan verwijderd. Even naar het originele WebWereld artikel surfen en daar op de link met tekst "Reaper Exploit" clicken. De URL ga ik hier niet posten want daar kan tweakers.net misschien problemen mee krijgen :( (en wordt waarschijnlijk toch gelijk weggemod ;))

edit:
Geen dubbelpost! Meer een "simultane" post denk ik ;)
Qman 8 februari 2001 01:28
Dit is nou precies een van die dingen waarom ik in Outlook standaard alle messages als Rich Text verzend... dan gebeurt dat je niet. Ik mag een ieder die Outlook (of Outlook Express) gebruikt aanraden om alle messages standaard te versturen als Rich of Plain Text. Dan ben je alle HTML-exploitable bugs kwijt.
Verwijderd @Qman8 februari 2001 09:02
Eindelijk eens mensen die het doorhebben: het is niet Outlook die onveilig is, maar de gebruiker die Outlook verteld alle security overboord te zetten. DAT soort gebruikers zijn er veel, en die zijn een mogelijk gevaar voor verspreiding van virussen....

En dat Outlook na standaard installatie RTF als message format gebruikt, zegt ook genoeg.

En laat mensen toch alsjeblieft oophouden met zeuren over dat HTML een protocol zou zijn dat in Outlook is geimplementeerd, dan heb je ergens iets behoorlijk verkeerd begrepen. Protocollen zijn andere dingen. Maar goed.

Gebruik lekker Outlook, zolang je weet wat je doet, is er niks aan de hand.

;)
witchdoc @Verwijderd8 februari 2001 19:39
Mijn mening: 85% van de gebruikers is stom, als een bedrijf als microsoft geen rekening houd met deze mensen in hun produkt mag dat produkt best onveilig genoemd worden.
Postman 7 februari 2001 15:12
Volgens mij is dit gewoon een manier van Netscape om Outlook opnieuw in een kwaad daglicht te zetten (en andere html-mail-proggies, maar Outlook is het meest gebruikt) :(

Dit stukje in de code is het (indirecte) bewijs:
http://developer.netscape.com/docs/examples/
Mappy @Postman7 februari 2001 16:07
mwh...
in NS mail kun je javascript in email afzetten (ok staat wel standaard aan na install |:() mja

anyway in outlook kan ik niet vinden waar ik 't af kan zetten :?
afterburn @Mappy7 februari 2001 19:21
Tools > Options
Security tab
Zone settings
Custom -> leef je uit
roelkw 7 februari 2001 15:10
't Is toch ook echt om ziek van te worden, die HTML-mailtjes. Eigenlijk snap ik ook helemaal niet waarom die dingen uitgevonden zijn. Mail is simpel, dat hoeft niet met mooie opmaak enzo. Natuurlijk zijn er van die mensen die dat altijd weer wel willen, daarom zijn volgens mij de HTML mailtjes uitgevonden.

Nou zal ik hier weer reacties op krijgen dat HTML-mail toch echt veel voordelen heeft, en dat snap ik ook wel, maar 't slaat nergens op. Dan stuur je maar lekker een Word-document mee (nee, dat is idd ook niet veilig nee ;(). Want als je echt iets te presenteren hebt, doe je dat met een programma waarmee je iets kunt presenteren, en niet via een mailtje.

Ook is het onzin om te zeggen dat je een beter overzicht kunt creeren door gebruik te maken van HTML-mailtjes.. bij normale plain text mailtjes kun je ook best een aardige layout maken, zeker als je een beetje kunt quoten (waarom zou niemand dat meer kunnen tegenwoordig...)

Goed, dit is mijn mening. Ik kan best begrijpen dat er mensen zijn met een andere mening, maar zo zie ik het, niet anders.
Crazy D @roelkw7 februari 2001 23:45
't Is toch ook echt om ziek van te worden, die HTML-mailtjes. Eigenlijk snap ik ook helemaal niet waarom die dingen uitgevonden zijn. Mail is simpel, dat hoeft niet met mooie opmaak enzo. Natuurlijk zijn er van die mensen die dat altijd weer wel willen, daarom zijn volgens mij de HTML mailtjes uitgevonden.
Hmm ja, en 't is "compatible" (ugh).
Een paar werkgevers geleden ( :?) werkten we met outlook en rich text. Heeeerlijk. Kon je toch geinig met kleurtjes klooien, maar geen vage scripts ed. Alleen heb ik begrepen dat dat weer iets van MS is, dus niet zo bruikbaar voor contact met de echte buitenwereld. Wel jammer, want dat had dus de nadelen van html mail (IMO) weggehaald.
Ook is het onzin om te zeggen dat je een beter overzicht kunt creeren door gebruik te maken van HTML-mailtjes.. bij normale plain text mailtjes kun je ook best een aardige layout maken, zeker als je een beetje kunt quoten (waarom zou niemand dat meer kunnen tegenwoordig...)
Ik krijg eigenlijk nooit html mail met quotes. Eigenlijk alleen maar met een lomp plaatje erin of zo.
Ik ben het wat dat aangaat ook zeker met je eens dat je met plain text hartstikke duidelijke mails kunt opstellen. Dus bij gebrek aan iets beters/veiligers dan html mail, is plain text het meest ideale :)

Plain text is trouwens ook wel zo aardig voor de trage verbindingen, hoef je tenminste niet 50kb op te halen voor 2kb aan plain text |:(
Verwijderd 7 februari 2001 14:28
Ga nu onmiddelijk mijn CV rondsturen, kijken waar ik kans op een baan heb :*)

Wel handig zo'n scriptje! :D

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq