Інженер Метт Ходжес опублікував у Twitter тему про проблему з приватністю, яку він виявив у macOS. За його словами, операційна система Mac не тільки активно сканує зображення у фоновому режимі, але коли ці зображення є QR-кодами, macOS декодує їх і запитує сховану в них URL-адресу. Це піднімає питання, чи це просто помилка в ОС, чи це так задумано Apple.
Ходжес знайшов баг, коли працював з Canary Tokens, який дозволяє створювати цифровий артефакт, наприклад файл, URL-адресу або QR-код. І якщо хтось взаємодіє з ним, він надсилає сповіщення на електронну пошту.
«Коли ви створюєте QR-код canary token, служба спрямовує код на певний веб-сайт-заповнювач, і коли цей веб-сайт завантажується, вони надсилають вам електронний лист із такими деталями, як IP-адреса та агент користувача, який просканував код», – пояснює чоловік.
Інженер створив низку QR-кодів canary token, але вирішив, що вони не мають якоїсь користі і просто залишив файли в папці зображень на своєму комп’ютері Apple.
Потім він отримав «шквал електронних листів про те, що хтось запитував створені токени. Коли чоловік подивився в деталі, він виявив, що QR-код запускали з його власної IP-адреси, а агент користувача — це інструмент AppleKit із macOS.
Хоча сканування зображень у фоновому режимі Apple є стандартною функцією, яка використовується для виявлення об’єктів і класифікації їх у програмі «Фотографії» (Apple каже, що ця частина має наскрізне шифрування), перевірка вмісту QR-коду без згоди користувача є зайвим.
За словами іншого користувача Twitter, ця проблема пов’язана лише з Mac і не стосується iPhone.