OS X Spotlight可造成用户信息泄露
Spotlight是Mac上的一项快速、随打即找、系统支援的桌面搜寻软件。上周五,一位德国的安全研究人员海泽发现如果通过Spotlight的预览功能,攻击者可以绕过mac的保护轻易的获得用户的隐私信息,包括ip、操作系统版本、浏览器版本等等。通过这些信息,攻击者可以根据对方弱点制定更加精确的攻击计划。
通过外部图片追踪用户
很多做网络营销或者网络钓鱼的人会在给用户发送的E-mail中添加一张图片,这图片可能仅仅有一个像素的大小,用户基本察觉不到,当用户点击了邮件之后,邮件发送者会便会收到用户的基本信息并可以确认用户已经阅读此邮件。
禁用远程图片
由于基于图片的电子邮件追踪方兴未艾,因此很多人将邮件软件默认设置为不提取远程内容,你可以这样做:
在最新版的Apple Mail中,你可使用邮件|偏好|查看(Mail|Preferences|Viewing)对话框,确保加载信息中的远程内容(Load remote content in messages)处于关闭状态:
(确保Apple Mail中的这个选项没有勾选,以避免邮件“网站信标”出现)
如果你接收到一条包含远程链接的信息,如上图所示的QWERTY示例,你只会看到信息中的文本内容以及一个加载远程内容(Load Remote Content)按钮:
(邮件样子:在提取远程图片之前)
如果你对发件人足够信任可提取这些图片(可点击Option+Command+U首先查看一下信息的真实HTML源,如果你知道应该提防什么内容的话),可以点击这个按钮。
那时,下载动作才会发生并且图片会出现:
(邮件样子:点击加载远程内容Load Remote Content按钮之后)
如果看一下web服务器日志,你会发现我们之前提到过的内容即Apple Mail应用程序出于必要性而发布的HTTP要求,它披露了一些关于你的信息。
但至少这些东西会在得到你确认的情况下才会发生:
(点击加载远程内容Load Remote Content按钮之后图片下载的web服务器日志)
Spotlight的预览功能造成的信息泄露
这时候Heise Online所报告的问题来了。当Spotlight在搜索中定位你的邮件时,会弹出一个预览窗口,但这个预览是Apple的QuickLook软件而不是Mail应用程序创建的,而且QuickLook不会查看你是否开启或关闭了加载信息中的远程内容(Load remote content in messages)选项。
所以,如果你有一封邮件,里面有你处于谨慎起见并且故意没有提取的任何图片,是因为这就是市场人员、垃圾邮件及诈骗推送人员希望你做的事儿……然后Spotlight会将这些图片提取出来:
(Spotlight搜索找出邮件、创建预览、加载远程图片)
在上面的Spotlight搜索截屏中,当点击字母Q时,你会发现Spotlight匹配邮件中的主题行QWERTY。
作为一个不同寻常的字母,第一个及最佳匹配是陷阱邮件,它会马上开启。
Spotlight迫不及待地想要知道我们是否真的是在搜索QWERTY,还是我们其实更关注quiddity或者querulousness。
当用户搜索成功后,我们便可以获得用户的信息,如下图:
(Spotlight成功搜索之后获得的信息)
我们能做什么?
这个问题不是一个严重漏洞。
但它是一个涉及隐私的问题,Apple需要进行修复。
以下是库比蒂诺(Apple设计产品的地方,位于美国加州)能够采取的两种思路:
1.让QuickLook及其他低层次的数据处理组件检索所有与预览内容相关的应用程序,检索它们的安全及隐私设置。执行最严格的设置。
2.将重要的安全及隐私设置移入“系统偏好(System Preferences)”中。在单个应用程序或系统组件需要覆盖这些默认设置的地方,只允许更加严格的设置。
同时
如果你想在邮件及信息中停止搜索动作,可告知Spotlight不要将它们包含
在搜索结果中:
(关闭Spotlight System Preferences中的Mail & Message选项会阻止QuickLook预览,但同时也会停止邮件搜索功能)
这个Spotlight选项可能会以不同的顺序出现在你的Mac中。Mail and Message可能出现在第二页倒数第12行的位置。设置的顺序只是决定搜索结果的顺序,所以你可以将认为最有用的结果排在前面。)如果Mail and Messages被关闭,Spotlight不会显示邮件文件中的任何匹配,所以QuickLook永远不会被调用生成一个邮件预览窗口,并且不会出现未预料到的网站信标追踪。但只有在Apple确认开启Mail and Message是安全的之后,你才能搜索邮件。
(确保Apple Mail中的这个选项没有勾选,以避免邮件“网站信标”出现)
如果你接收到一条包含远程链接的信息,如上图所示的QWERTY示例,你只会看到信息中的文本内容以及一个加载远程内容(Load Remote Content)按钮:
(邮件样子:在提取远程图片之前)
如果你对发件人足够信任可提取这些图片(可点击Option+Command+U首先查看一下信息的真实HTML源,如果你知道应该提防什么内容的话),可以点击这个按钮。
那时,下载动作才会发生并且图片会出现:
(邮件样子:点击加载远程内容Load Remote Content按钮之后)
如果看一下web服务器日志,你会发现我们之前提到过的内容即Apple Mail应用程序出于必要性而发布的HTTP要求,它披露了一些关于你的信息。
但至少这些东西会在得到你确认的情况下才会发生:
(点击加载远程内容Load Remote Content按钮之后图片下载的web服务器日志)
Spotlight的预览功能造成的信息泄露
这时候Heise Online所报告的问题来了。当Spotlight在搜索中定位你的邮件时,会弹出一个预览窗口,但这个预览是Apple的QuickLook软件而不是Mail应用程序创建的,而且QuickLook不会查看你是否开启或关闭了加载信息中的远程内容(Load remote content in messages)选项。
所以,如果你有一封邮件,里面有你处于谨慎起见并且故意没有提取的任何图片,是因为这就是市场人员、垃圾邮件及诈骗推送人员希望你做的事儿……然后Spotlight会将这些图片提取出来:
(Spotlight搜索找出邮件、创建预览、加载远程图片)
在上面的Spotlight搜索截屏中,当点击字母Q时,你会发现Spotlight匹配邮件中的主题行QWERTY。
作为一个不同寻常的字母,第一个及最佳匹配是陷阱邮件,它会马上开启。
Spotlight迫不及待地想要知道我们是否真的是在搜索QWERTY,还是我们其实更关注quiddity或者querulousness。
当用户搜索成功后,我们便可以获得用户的信息,如下图:
(Spotlight成功搜索之后获得的信息)
我们能做什么?
这个问题不是一个严重漏洞。
但它是一个涉及隐私的问题,Apple需要进行修复。
以下是库比蒂诺(Apple设计产品的地方,位于美国加州)能够采取的两种思路:
1.让QuickLook及其他低层次的数据处理组件检索所有与预览内容相关的应用程序,检索它们的安全及隐私设置。执行最严格的设置。
2.将重要的安全及隐私设置移入“系统偏好(System Preferences)”中。在单个应用程序或系统组件需要覆盖这些默认设置的地方,只允许更加严格的设置。
同时
如果你想在邮件及信息中停止搜索动作,可告知Spotlight不要将它们包含
在搜索结果中:
(关闭Spotlight System Preferences中的Mail & Message选项会阻止QuickLook预览,但同时也会停止邮件搜索功能)
这个Spotlight选项可能会以不同的顺序出现在你的Mac中。Mail and Message可能出现在第二页倒数第12行的位置。设置的顺序只是决定搜索结果的顺序,所以你可以将认为最有用的结果排在前面。)如果Mail and Messages被关闭,Spotlight不会显示邮件文件中的任何匹配,所以QuickLook永远不会被调用生成一个邮件预览窗口,并且不会出现未预料到的网站信标追踪。但只有在Apple确认开启Mail and Message是安全的之后,你才能搜索邮件。关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
站内编辑
关注网络尖刀微信公众号随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 习近平澳门之行 这些瞬间令人难忘 7938548
- 2 “92年”超级牛散1个月赚了1.7亿 7908714
- 3 冬至开始千万别熬夜 7865092
- 4 在澳门 传统文化在指尖绽放 7737505
- 5 这座一线城市 开始限制电动自行车 7653211
- 6 李嘉欣和老公滑雪 皮肤白到发光 7571873
- 7 小伙长期喝饮料双手长满痛风石 7456865
- 8 32岁飞行员晋升机长失败当天失联 7370377
- 9 网红吃宵夜晕倒 昏迷8个月去世 7218720
- 10 非遗冬至宴 消寒祈福长 7102779
