WhiteHat News #ID:1368
WhiteHat Support
-
04/06/2014
-
0
-
110 bài viết
Chức năng tìm kiếm trên OS X Yosemite có thể lộ thông tin người dùng
Sử dụng chức năng tìm kiếm Spotlight trên hệ điều hành OS X Yosemite có thể làm lộ địa chỉ IP và các thông tin cá nhân khác của người dùng cho tin tặc, kết quả 2 cuộc khảo sát được tiến hành độc lập cho thấy.
Lỗi này ảnh hưởng đến người dùng cấu hình ứng dụng Mac Mail tắt chức năng " load remote content in messages" (tạm dịch: tải nội dung bị ẩn trong thư), vốn được các chuyên gia an ninh khuyến nghị từ lâu. Những đối tượng phát tán spam hay quảng cáo trực tuyến thường sử dụng những hình ảnh bị ẩn này làm mồi nhử để bí mật theo dõi người nhận có mở email hay không. Do hình ảnh được đặt trên host của người gửi email, nên người gửi có thể ghi lại log những địa chỉ IP đã xem email, cũng như thời gian, tần suất xem và địa chỉ email đã nhận thư.
Tương tự như Mozilla Thunderbird, Microsoft Outlook và nhiều dịch vụ email khác, Mac Mail cho phép người dùng chặn các hình ảnh ẩn vì chính lí do này. Tuy nhiên ngay cả khi chức năng xem ảnh ẩn bị vô hiệu hóa trên trình duyệt Yosemite, hình ảnh đó vẫn có thể được mở thông qua Spotlight. Đây là chức năng tìm kiếm tệp tin hoặc email có chứa một cụm từ khóa nhất định trên máy Mac. Khi Spotlight trả về preview email có chứa từ khóa, nó đồng thời tải về các bức ảnh ẩn và vượt quyền thiết lập. Các bức ảnh được tải về ngay khi mail đã bị cho vào thùng rác.
Vấn đề này đã được 2 tờ báo là Heise và IDG News đồng thời xác nhận. Hiện chưa rõ liệu Spotlight có hoạt động tương tự đối với các ứng dụng mail của bên thứ ba hay không. Apple chưa đưa ra bình luận trước thông tin này.
Nguồn: Arstechnica
Lỗi này ảnh hưởng đến người dùng cấu hình ứng dụng Mac Mail tắt chức năng " load remote content in messages" (tạm dịch: tải nội dung bị ẩn trong thư), vốn được các chuyên gia an ninh khuyến nghị từ lâu. Những đối tượng phát tán spam hay quảng cáo trực tuyến thường sử dụng những hình ảnh bị ẩn này làm mồi nhử để bí mật theo dõi người nhận có mở email hay không. Do hình ảnh được đặt trên host của người gửi email, nên người gửi có thể ghi lại log những địa chỉ IP đã xem email, cũng như thời gian, tần suất xem và địa chỉ email đã nhận thư.
Tương tự như Mozilla Thunderbird, Microsoft Outlook và nhiều dịch vụ email khác, Mac Mail cho phép người dùng chặn các hình ảnh ẩn vì chính lí do này. Tuy nhiên ngay cả khi chức năng xem ảnh ẩn bị vô hiệu hóa trên trình duyệt Yosemite, hình ảnh đó vẫn có thể được mở thông qua Spotlight. Đây là chức năng tìm kiếm tệp tin hoặc email có chứa một cụm từ khóa nhất định trên máy Mac. Khi Spotlight trả về preview email có chứa từ khóa, nó đồng thời tải về các bức ảnh ẩn và vượt quyền thiết lập. Các bức ảnh được tải về ngay khi mail đã bị cho vào thùng rác.
Vấn đề này đã được 2 tờ báo là Heise và IDG News đồng thời xác nhận. Hiện chưa rõ liệu Spotlight có hoạt động tương tự đối với các ứng dụng mail của bên thứ ba hay không. Apple chưa đưa ra bình luận trước thông tin này.
Nguồn: Arstechnica