Experts: automatische weergave plaatjes in Gmail is risico
De beslissing van Google om afbeeldingen in Gmail automatisch weer te geven is een beveiligingsrisico, zo stellen verschillende experts. Voorheen werden in e-mails ingebedde afbeeldingen standaard in Gmail geblokkeerd, waarbij gebruikers zelf op een link moesten klikken om ze weer te geven.
Google kondigde deze week aan dat het de afbeeldingen via een eigen Google-proxy gaat weergeven, wat gebruikers tegen eventuele risico's moet beschermen, maar verschillende experts zijn het daar niet mee eens. "Dit laat een stalker of andere entiteit met kwade bedoelingen controleren of de e-mail die hij naar een doelwit heeft gestuurd gelezen is", zegt beveiligingsonderzoeker H.D. Moore tegenover CNET.
Uitschakelen
"Hoe meer informatie aanvallers kunnen achterhalen over welke accounts actief zijn, welke gebruikers eerder klikken en hoe succesvol een bepaalde social engineering-truc is, hoe groter de kans op succes bij het aanvallen van die gebruikers", zegt Charles Renert van beveiligingsbedrijf Websense. Renert adviseert Gmail-gebruikers om het automatisch laden van afbeeldingen uit te schakelen.
Google laat in een verklaring weten dat een afzender inderdaad via een unieke URL per ontvanger kan achterhalen welke e-mails zijn geopend, maar stelt dat de proxyserver helpt hij het afschermen van het IP-adres van de ontvanger, alsmede zijn geografische locatie, gebruikte browser en 'andere identificeerbare informatie'.
Proxy
"Het trackingprobleem kan afhankelijk van de implementatie een echt probleem zijn of misschien niet, maar in elk geval is het een gevaarlijke beslissing. Of het helpt het op afstand volgen van gebruikers, of het helpt gedistribueerde denial-of-service (DDoS)-aanvallen", voegt beveiligingsexpert Robert Hansen toe.
De opzet van Google maakt het mogelijk om kwaadaardige requests via de proxyserver uit te voeren, die dan voor een DDoS-aanval gebruikt zouden kunnen worden. Daarnaast is Hansen bang dat Google mogelijk afbeeldingen gaat inschakelen voor bepaalde partners die betalen voor het volgen van gebruikers. Marketingbedrijven zijn in ieder geval blij met de maatregel.
Maar dat vind ik nou ook weer het fijne van gmail, dat je al dit soort dingen kan instellen.
Ik gebruik het alvast niet, niets van Google.
Die 'diensten' ook allemaal niet, weg ermee FB, Skype, Twitter, LinkedIn en ga zomaar voort ...
Als je je enigszins serieus druk maakt over je privacy en advertisement tracking, gebruik je geen gmail en ook niet de bijbehorende browser. Gezien het marktaandeel van de browser in Nederland interesseert dat de meeste gebruikers geen ene moer.
Overigens geldt het tracking risico natuurlijk voor wel meer gratis webmail diensten buiten gmail, deze hebben de stap echter nog niet gemaakt naar verplichte html weergave.
Ook voor de vaste mailclient geldt ; bericht weergave in plain text / platte tekst . Emailtracking is namelijk een veel grotere bedreiging voor je privacy dat webtracking omdat de beheerder van het email adressen bestand niet zelden ook al beschikt over n.a.w. data en wel meer. Daar kunnen vele cookies niet tegenop.
De html nieuwsbrief die gebruik maakt van tracking heeft geen verplichte melding zoals we die kennen voor cookies. Waarom niet?
Het is minstens even schadelijk! Wees je er bewust van, als gmail daarvoor nodig is is dat tenminste een goede bijwerking.
Email html nieuwsbrieven tracking, wanneer komt het nou eens een keer op de privacy nieuws radar?
Je gegevens zijn best veilig bij Gmail... Behalve voor Google. (En de NSA, maar daar waren je mails sowieso al niet veilig voor tenzij je PGP o.i.d. gebruikt.)
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.