Понедельник, 25 ноября, 2024

На компьютерах Apple обнаружили нашли серьезную дыру конфиденциальности

Инженер Мэтт Ходжес опубликовал в Twitter тему о проблеме с конфиденциальностью, которую он обнаружил в macOS. По его словам, операционная система Mac не только активно сканирует изображения в фоновом режиме, но когда эти изображения являются QR-кодами, macOS декодирует их и запрашивает скрытый в них URL-адрес. Это поднимает вопрос, просто ли это ошибка в ОС или это так задуман Apple.

Ходжес нашел баг, когда работал с Canary Tokens, позволяющим создавать цифровой артефакт, например файл, URL-адрес или QR-код. И если кто-то взаимодействует с ним, он посылает уведомления на электронную почту.

«Когда вы создаете QR-код canary token, служба направляет код на определенный веб-сайт-заполнитель, и когда этот веб-сайт загружается, они посылают вам электронное письмо с такими деталями, как IP-адрес и пользователь, просканировавший код» , – объясняет мужчина.

Инженер создал ряд QR-кодов canary token, но решил, что у них нет какой-либо пользы и просто оставил файлы в папке изображений на своем компьютере Apple.

Затем он получил «шквал электронных писем о том, что кто-то спрашивал созданные токены. Когда мужчина посмотрел в детали, он обнаружил, что QR-код запускали с его собственного IP-адреса, а пользовательский агент — это инструмент AppleKit из macOS.

Хотя сканирование изображений в фоновом режиме Apple является стандартной функцией, которая используется для обнаружения объектов и классификации их в приложении «Фотографии» (Apple говорит, что эта часть имеет сквозное шифрование), проверка содержимого QR-кода без согласия пользователя является излишним.

По словам другого пользователя Twitter, эта проблема связана только с Mac и не касается iPhone.

Євген
Євген
Евгений пишет для TechToday с 2012 года. По образованию инженер,. Увлекается реставрацией старых автомобилей.

Vodafone

Залишайтеся з нами

10,052Фанитак
1,445Послідовникислідувати
105Абонентипідписуватися