Mumble: Durch Einbettung externer Grafiken erhalten Angreifer IP-Adresse

Hintergrund und Gefahr

In Mumble gibt es die Funktion, externe Grafiken per IMG-Tag in Textnachrichten einbetten zu können, welche dann in jedem Mumble-Client ohne Rückfrage automatisch heruntergeladen und angezeigt werden; das ist ansich nicht neu.

Jedoch ist den meisten nicht bewusst, dass sich diese Funktion sehr einfach ausnutzen lässt, um als normaler Benutzer/Gast an die IP-Adressen von Benutzern auf einem Mumble-Server heranzukommen. Wird z. B. eine 1×1 Pixel kleine Grafik in einer ansonsten unverdächtigen Textnachricht versteckt, bemerkt das Ziel noch nicht einmal etwas.

Liegt die verwendete Grafik auf einem eigenen Webserver, muss man nur noch die Textnachricht an die entsprechenden Benutzer (oder als Baumnachricht an den ganzen Server) schicken und kann sich dann aus den Log-Dateien die IP-Adressen herausfischen:

ip.ip.ip.ip - - [23/Jun/2012:06:23:36 +0200] "GET /1pixelpic.png HTTP/1.1" 200 351 "-" "Mozilla/5.0 (OSX; 10.6.7 (i386)) Mumble/1.2.3 1.2.3"

Auf einem Spiele-Server mag man das noch hinnehmen können, wobei es aus Datenschutzgründen auch schon eher schlecht ist; nicht ohne Grund kann normalerweise nur der Administrator des Mumble-Servers die IP-Adresse eines Benutzers sehen.
Wenn aber die Mitarbeit bei einer Organisation persönliche Konsequenzen zur Folge haben könnte und jeder Gast herauszufinden kann, wer wer ist, dann sieht die Sache schon ganz anders aus.

Lösungen

Dabei ist es ziemlich einfach, sich selbst bzw. als Betreiber die Benutzer seines Mumble-Servers  zu schützen.
(Eine kurze Übersicht der im Folgenden genannten Möglichkeiten gibt es zusätzlich im Wiki in Deutsch und in Englisch)

Client-seitige Lösung

Damit Mumble solche Dateien nicht mehr herunterlädt, setzt man unter
Menü -> Konfiguration -> Einstellungen -> Netzwerk
im Bereich Verschiedenes bei „Eingebettete Bilddateien nicht herunterladen“ einen Haken,
wie im folgenden Screenshot zu sehen (ist dieser Punkt nicht sichtbar, so muss man noch links unten im Fenster einen Haken machen bei „Erweitert„):

Ist der Haken im hervorgehobenen Bereich gesetzt, kann man nicht mehr die IP-Adresse des Benutzers ausspähen.
Ist der Haken im hervorgehobenen Bereich gesetzt, kann man nicht mehr die IP-Adresse des Benutzers ausspähen.

Bekommt man danach eine eingebettete Grafik zugeschickt, sieht man lediglich ein Symbol einer leeren Seite:

eingebettet funktioniert nicht mehr

Server-seitige Lösung

Eine weitere Möglichkeit ist es, Server-seitig HTML-Nachrichten zu deaktivieren (allowhtml=false). Alles, was nicht reiner Text ist, wird dann herausgefiltert. Leider werden aber auch danach erstellte Benutzerkommentare/Kanalbeschreibungen nicht mehr als HTML gerendert; diese Möglichkeit ist daher eher eine Notfallmaßnahme denn eine Lösung.

Die neue Zeile „allowhtml=false“ trägt man entweder in die .ini-Konfigurationsdatei (z. B. murmur.ini) ein oder ändert die entsprechende Option im verwendeten Admin-Interface.

Bilder sind auch anders möglich :)

Bilder kann man trotzdem noch sehen und versenden, sofern diese über die Mumble eigene Funktion „Bild einfügen“ im Dialog „Nachricht senden“ verwendet (intern werden diese base64 codiert und vom Mumble-Clienten gerendert). Dann allerdings muss die Bilddatei auf einem lokalen Datenträger liegen.

Um eine Nachricht zu senden macht man einen Rechtsklick auf den Benutzer/Kanal und klickt dann auf „Nachricht senden“:

Bilder in den Mumble-Chat einfügen
Bilder in den Mumble-Chat einfügen

Ist doch gar nicht …

Man kann argumentieren, dass jemand auch an die IP-Adresse eines anderen Mumble-Benutzers kommt, wenn er ihm einen Link zu einem Webserver schickt, an dessen Logs er herankommt. Aber in diesem Fall muss der Benutzer explizit diesen Link aufrufen und entscheidet selbst, ob er dies tut oder nicht.

Im Fall der eingebetteten Bilddateien hat der Benutzer jedoch keine Entscheidung darüber, ob er seine Daten preisgeben möchte oder nicht.

Ähnliche Themen …