Anslut till Senaste Tekniska Nyheter, Bloggar, Recensioner

Spotlight Search i OS X Yosemite Falls Foul of Another Privacy Glitch

Spotlight Search i OS X Yosemite Falls Foul of Another Privacy Glitch

Spotlight-sökning
Kära nån. Spotlight-sökning på OS X Yosemite har ett annat integritetsproblem.

Du kanske kommer ihåg att vi tidigare oroade oss för hur Spotlight-sökning i OS X Yosemite kan läcka tillbaka din privata information till Apple om du inte var nog nog med att ändra standardinställningarna.

Nu har en ny oro för OS Xs sökfunktion kommit fram och det kan hjälpa bedragare, spammare och stalkers att ta reda på mer om dig än du någonsin skulle vilja.

Problemet är kopplat till HTML-e-post. Många spammare och onlinemarknadsförare har under många år inbäddat små spårningspixlar i sina HTML-e-postmeddelanden som laddas från en fjärrserver. Genom att kontrollera sina serverloggar kan avsändaren berätta för alla som tittat på meddelandet IP-adressen, hur många gånger det öppnades, och till och med – genom att lägga till en tagg i webbadressen till den fjärrbild som laddas i användarens e-postklient – vet vilken specifik e-postadress som öppnade den.

Informationen som tillhandahålls av en transparent spårningsbild hjälper legitima marknadsförare online att mäta den öppna hastigheten för sina e-postkampanjer, men det kan knappast betraktas som anonymiserad data.

StalkerDessutom finns det en grupp integritetsmedvetna datoranvändare som har ett särskilt behov av att dölja sin personliga information. Om du blir förföljd eller har en kränkande partner, är det sista du kanske vill att de ska veta din grova plats.

Och ändå kan en stalker enkelt bädda in en spårningspixel i ett e-postmeddelande och kunna härleda (via detaljer som din IP-adress, operativsystemet du använder och mer) var du är mest sannolikt att vara.

Som ett resultat ställer många användare in sin Mac Mail-app för att inte “ladda fjärrinnehåll i meddelanden.” I ett nötskal, om bilden inte laddas – kan de inte berätta om du läser e-postmeddelandet eller inte, och de kan inte berätta för din IP-adress.

Och du skulle tro att det skulle vara slutet på saken.

Men nej.

För även om du har inaktiverat fjärrinnehåll, till exempel bilder, från att visas i din Mac Mail-app, ignorerar Spotlight-sökningen integritetsinställningen helt och kan visa meddelandet i sökförhandsgranskningen—inklusive inbäddade bilder!

Visst hade du förväntat dig att OS X hade respekterat den sekretessinställning du valde i Mail, snarare än att bete sig helt annorlunda om meddelandet dyker upp under en Spotlight-sökning?

IDG rapporterar att Spotlight-sökning till och med kommer att förhandsgranska meddelanden som (kanske med rätta) hamnat i din skräpmapp på grund av deras tvivelaktiga natur:

Spotlight-förhandsgranskningen laddar dessa filer även när användarna har stängt av alternativet “ladda fjärrinnehåll i meddelanden” i Mail-appen, en funktion som ofta inaktiveras för att förhindra att e-postavsändare vet om ett e-postmeddelande har kommit och om det har öppnats. Dessutom laddar Spotlight också dessa filer när det visar förhandsgranskningar av oöppnade e-postmeddelanden som landade direkt i skräppostmappen.

Och låt oss inte ens börja överväga riskerna om en noll-dagars sårbarhet hittades i OS X: s hantering av vissa bildtyper. Deras visning inom Spotlight-sökning kan i teorin leda till att din dator blir infekterad av skadlig kod genom att bara se e-postmeddelandet, även om fjärrbilder i Mail är inaktiverade.

Tills Apple får sin del och lanserar en säkerhetsuppdatering, är det bästa rådet för de berörda förmodligen att se över dina Spotlight-sökinställningar och inaktivera sökningen av e-post och meddelanden.

Spotlight-inställningar

Öppna för att justera dina Spotlight-sökinställningar Systeminställningar och välj Strålkastare. Du bör antagligen också ta dig tid att läsa min tidigare artikel om andra integritetsproblem med Spotlight i OS X Yosemite.

Det här är förmodligen inte ett “sky faller” säkerhetsproblem, men det bör fortfarande åtgärdas. Låt oss hoppas att Apple innehåller en korrigering för problemet i en framtida programuppdatering.

Om Graham Cluley

Graham Cluley är en prisbelönt säkerhetsblogger, forskare och talare. Han har arbetat inom datasäkerhetsbranschen sedan början av 1990-talet, efter att ha varit anställd av företag som Sophos, McAfee och Dr Solomon’s. Han har talat om datasäkerhet för några av världens största företag, arbetat med brottsbekämpande organ för utredningar av hackingsgrupper och dyker regelbundet upp på TV och radio för att förklara datasäkerhetshot. Graham Cluley togs in i InfoSecurity Europe Hall of Fame 2011 och fick ett hedersomtal i “De 10 största britterna i IT-historien” för sitt bidrag som en ledande myndighet inom internetsäkerhet. Följ honom på Twitter på @gcluley. Visa alla inlägg av Graham Cluley → Detta inlägg postades i Säkerhet & Sekretess, Säkerhetsnyheter, Programvara och appar och taggade e-post, Mac, Mail, OS X, sekretess, skräppost, Spotlight, Yosemite. Bokmärk permalänken.