W rzeczywistości programy przetwarzają dane. Programy te mogą zawierać błędy powodujące, że program będzie działał zupełnie inaczej niż zamierzano. Zwykle w takich okolicznościach program zostanie zakończony przez system operacyjny lub po prostu zaangażuje się w losowe, nieszkodliwe zachowanie. Jednak wszystko, co program robi, jest technicznie nadal deterministyczne (chyba że w grę wchodzi przypadkowość) - więc to, co program faktycznie robi, gdy napotyka dane, które przetwarza nieprawidłowo, jest deterministyczne, więc atakujący są w stanie skonstruować dane w sposób kontrolujący dokładnie co robi program.
Podczas odbierania wiadomości e-mail Twój klient poczty e-mail już przetwarza dane, więc istnieje duża szansa, że osoba atakująca może przejąć kontrolę nad Twoim programem pocztowym, wysyłając do Ciebie wiadomość e-mail - nieważne, czy naprawdę na to spojrzysz. Program pocztowy pobierze wiadomość e-mail i, na przykład, wyświetli temat. Gdy otworzysz wiadomość e-mail, Twój klient poczty prawdopodobnie wykona jeszcze więcej rzeczy, takich jak przeanalizowanie kodu HTML w wiadomości e-mail, wyświetlenie zawartości, wyświetlenie obrazów itp. We wszystkim, co robi (od analizowania HTML po renderowanie obrazy, renderowanie tekstu, pobieranie e-maili, wyświetlanie tematu), może być w tym błąd.
Otwarcie podejrzanej wiadomości e-mail jest tylko bardziej ryzykowne, ponieważ więcej rzeczy jest przetwarzanych , gdy faktycznie ją otwierasz.
Kiedy odwiedzasz witrynę internetową (taką jak Gmail) i otwierasz w niej wiadomość e-mail, sytuacja wygląda zupełnie inaczej, ponieważ Gmail to tylko strona internetowa, taka jak każda inna… z wyjątkiem wyświetlania wiadomości e-mail. Problem polega na tym, że strony internetowe muszą wziąć pod uwagę, że nie można po prostu wysłać treści wiadomości e-mail do przeglądarki, ponieważ może wtedy zawierać złośliwy kod HTML i / lub złośliwy JavaScript. Z technicznego punktu widzenia nie różni się to zbytnio od witryn takich jak Wikipedia, w których użytkownicy mogą pisać artykuły zawierające formatowanie.
Oczywiście Twoja przeglądarka będzie również używać bibliotek do renderowania tekstu, przetwarzania czcionek, przetwarzania obrazów itp., więc jeśli w bibliotece obrazów jest błąd, a wiadomość e-mail zawiera złośliwy obraz, to pecha. nie wina Gmaila. Możesz spodziewać się, że możliwe luki w zabezpieczeniach Gmaila są takie same jak w przeglądarce, a ponadto problem XSS i innych luk w zabezpieczeniach specyficznych dla sieci.
Jest to również powód, dla którego zostaniesz zainfekowany różnymi rzeczami nawet jeśli nie odwiedzasz żadnych podejrzanych witryn (a ludzie zwykle mają na myśli witryny pornograficzne, streamingowe, warezowe), dzieje się tak, ponieważ nawet nie podejrzane witryny wyświetlają reklamy z różnych sieci, więc jeśli atakujący w jakiś sposób infekuje sieć reklamową, nawet Podejrzane strony będą serwować złośliwe oprogramowanie. Z technicznego punktu widzenia używanie treści osób trzecich, nad którymi nie masz kontroli, jest niebezpieczne . Pomyśl o tym, co się dzieje, gdy atakujący zdoła przejąć kontrolę nad siecią CDN, która obsługuje jquery, bootstrap lub cokolwiek innego, gdy korzystają z niej tysiące witryn. Wtedy wszystkie te strony będą zawierały złośliwy skrypt javascript. Aby temu zapobiec, istnieje SRI, ale nie wiem, jak dobrze jest to obecnie obsługiwane.