Инженер Мэтт Ходжес опубликовал в Twitter тему о проблеме с конфиденциальностью, которую он обнаружил в macOS. По его словам, операционная система Mac не только активно сканирует изображения в фоновом режиме, но когда эти изображения являются QR-кодами, macOS декодирует их и запрашивает скрытый в них URL-адрес. Это поднимает вопрос, просто ли это ошибка в ОС или это так задуман Apple.
Ходжес нашел баг, когда работал с Canary Tokens, позволяющим создавать цифровой артефакт, например файл, URL-адрес или QR-код. И если кто-то взаимодействует с ним, он посылает уведомления на электронную почту.
«Когда вы создаете QR-код canary token, служба направляет код на определенный веб-сайт-заполнитель, и когда этот веб-сайт загружается, они посылают вам электронное письмо с такими деталями, как IP-адрес и пользователь, просканировавший код» , – объясняет мужчина.
Инженер создал ряд QR-кодов canary token, но решил, что у них нет какой-либо пользы и просто оставил файлы в папке изображений на своем компьютере Apple.
Затем он получил «шквал электронных писем о том, что кто-то спрашивал созданные токены. Когда мужчина посмотрел в детали, он обнаружил, что QR-код запускали с его собственного IP-адреса, а пользовательский агент — это инструмент AppleKit из macOS.
Хотя сканирование изображений в фоновом режиме Apple является стандартной функцией, которая используется для обнаружения объектов и классификации их в приложении «Фотографии» (Apple говорит, что эта часть имеет сквозное шифрование), проверка содержимого QR-кода без согласия пользователя является излишним.
По словам другого пользователя Twitter, эта проблема связана только с Mac и не касается iPhone.