Los ejemplos publicados para explotar la vulnerabilidad de cifrado de correo electrónico de EFAIL parecen utilizar HTML para crear un canal de respaldo para filtrar datos descifrados.
Sin embargo, la página de inicio de EFAIL, enlace , afirma:
Corto plazo: deshabilita la representación HTML. [...]
Tenga en cuenta que hay otros posibles backchannels en los clientes de correo electrónico que no están relacionados con HTML, pero son más difíciles de explotar.
Por lo que puedo ver, todos los ejemplos publicados se basan en la carga de contenido remoto (es decir, cosas vinculadas desde un correo HTML, como imágenes o CSS).
Entonces:
- ¿Por qué se recomienda deshabilitar completamente la representación HTML? ¿No sería suficiente deshabilitar la carga de contenido remoto (que de todos modos es el predeterminado en la mayoría de los programas de correo modernos)?
- ¿Qué otros backchannels hay que "no están relacionados con HTML"? ¿Los autores elaboraron sobre esto en algún lugar?