image

Spotlight kan IP-adres Apple Mail-gebruikers lekken

zaterdag 10 januari 2015, 06:41 door Redactie, 10 reacties

Een fout in de zoekfunctie van Mac OS X Yosemite zorgt ervoor dat privégegevens van Apple Mail-gebruikers, zoals IP-adres en andere systeemgegevens, kunnen lekken. Het probleem zou met name door spammers kunnen worden misbruikt en ontstaat bij het gebruik van de Spotlight-zoekfunctie.

Spotlight indexeert namelijk ook in Apple Mail ontvangen e-mails. Bij het previewen van deze e-mails worden in het geval van HTML-mails ook externe afbeeldingen door Spotlight geladen, zelfs als deze functie door de gebruiker in Apple Mail is uitgeschakeld. Via bijvoorbeeld een trackingpixel die in veel nieuwsbrieven en spamberichten worden gebruikt kan een spammer bijvoorbeeld weten dat het bericht door de gebruiker is ontvangen en bekeken.

Op deze manier kan een spammer het IP-adres alsmede een grove benadering van de geografische locatie van de gebruiker achterhalen. Verder onthult Spotlight hierbij ook het versienummer van Mac OS X en QuickTime, zo ontdekte het Duitse Heise. De website stelt dat gebruikers die zich tegen eventuele tracking willen beschermen ervoor kunnen kiezen om de instellingen van Spotlight te wijzigen, zodat e-mail niet wordt geïndexeerd. Voor wie zijn e-mails toch wil laten indexeren zonder het risico om gevolgd te worden heeft Heise een speciale plug-in ontwikkeld.

Reacties (10)
10-01-2015, 10:21 door Anoniem
Zijn dit dan de headers? Dit is toch altijd al zichtbaar geweest? Of is dit iets anders?
10-01-2015, 11:41 door Anoniem
Door Anoniem: Zijn dit dan de headers? Dit is toch altijd al zichtbaar geweest? Of is dit iets anders?
Het gaat erom, dat wanneer jij in je mail client aan geeft, dat je geen externe plaatjes wil laden, dit via Spotlight toch gebeurt.

Het laden van externe plaatjes wordt vaak gedaan om te meten of men de mail leest. En dat wordt gezien als een privacy probleem. Als jij dan dit belangrijk vind, en dus externe plaatjes laden blokkeert, ga je ervan uit dat je veilig bent.
Nu blijkt dus dat Spotlight dit dus niet doet, en daar kun je als spammer, marketeer gebruik van maken.

En nee, het zijn niet de mail headers waar het om gaat. Doordat Spotlight een plaatje online opvraagt, komt er dus een log regel in de log file van de webserver, en weet de verstuurder dus zeker je IP. Maar denk ook wel OS informatie. En als je het slim doet, zorg je in de aanvraag dat er een unieke key zit, en dan is email adres te koppelen aan een IP, en aan een type OS. Daar kan dan weer een spearphishing mail voor opgesteld worden, die alleen op jou van toepassing is.

Dit is een scenario die ik zo kan bedenken. Misschien ben jij niet zo intressant voor de hacker, maar overheden, of mensen hoog in besturen van grote bedrijven wel.

TheYOSH
10-01-2015, 12:01 door GerBNL - Bijgewerkt: 10-01-2015, 12:18
Door Anoniem: Zijn dit dan de headers?

Nee, een stuk minder. Het berichtje is een beetje opgeblazen waardoor het lastig leest en meer lijkt dan het is, maar er staat dit:

Als iemand jou een mailbericht stuurt met een tracking pixel (of eigenlijk: een imagelink naar een server) en je previewt dat bericht, dan zal Apple Mail die link volgen en op die manier een http request loggen in de logfile van de server welke het pixelimage host. (de http request (en headers) bevatten de gelekte gegevens waarbij ip adres en user-agent het meest informatief zijn).

Als je in Apple Mail het preview venster uitschakelt om dit te voorkomen (verstandig), blijkt spotlight bij het indexeren van het bericht alsnog die link te volgen.

Een beetje een storm in een glas water bericht, maar niettemin ook een stomme fout in Apple mail/Spotlight.

Wat nog leuk zou zijn om te weten is of een bericht ook nog door Spotlight geïndexeerd wordt als Apple Mail het al als junk heeft gemarkeerd?
10-01-2015, 13:52 door Anoniem
Dit had iedereen die 'little snitch' ziet toch al lang gezien?

Als je in spotlight zoekt zie je veel internet connecties voorbij komen. Puur van de plaatjes in mailtjes.

Eigenlijk zouden alle legitieme mails gewoon hun plaatjes in base64 mee moeten sturen, kun je je mailclient de rest laten blokken.

Overigens zijn er meer dan genoeg van die legitieme mail-verzenders (nieuwsbrieven) die ook een webbug-plaatje (zoals dat volgens mij heet) toevoegen.
10-01-2015, 14:59 door Anoniem
Zou deze 'bug' ook opgaan bij gebruik van andere emailprogramma's onder OS X?
Het principe van die voorpreview blijft immers hetzelfde.

De Spotlight internet toegang dan maar via je firewall blokkeren?
Of gaan er dan teveel nieuwe 'handige' functies van Yosemite verloren?
11-01-2015, 09:56 door P5ycH0
Storm in een glas water.

99% van de mensen gebruiken html mail, en hebben hun instellingen zo dat de externe servers geraadpleegd mogen worden.
Iedere server die jij bezoekt (via mail, browser of wat dan ook) weet je IP adres.
Boeiend.

Spotlight laad een online preview zien van een email in strijd met de instellingen in Mail. Slordig, maar het blijft een storm in een glas water.

Ik heb er meteen maar even een bug voor aangemeld bij Apple.
Bug nr = 19437768
11-01-2015, 11:58 door Anoniem
Door P5ycH0: Storm in een glas water.
Nee hoor.
(maar inderdaad wordt er bij security nieuws nog wel eens wat meer hysterie opgewekt. Dat krijg je als er op dat vlak weinig te berichten valt).

99% van de mensen gebruiken html mail, en hebben hun instellingen zo dat de externe servers geraadpleegd mogen worden.
Dat is vanuit security en privacy oogpunt niet zo slim van die mensen.
Al kan je mensen ook niet helemaal kwalijk nemen geen trek te hebben in plain tekst mail en vooral al die html mails met teksten als "Helaas ondersteund uw emailprogramma geen html weergave, bekijk dit bericht via ..." (gepersonaliseerde tracker link volgt).

Wanneer gaan bedrijven (%$#!) weer gewone berichten sturen, wat is er mis met HTML èn plain tekst?
Niets natuurlijk maar dan kan je niet tracken, het werkelijke doel van die html mail opmaak.
Veel groter nieuws is dus (maar niemand interesseert het, al jaren niet) dat de hele cookie wetgeving een lachertje is omdat via html mail die privacy aantasting ruimschoots gespasseerd wordt omdat er veel meer gegevens en interesse gedrag gecombineerd worden tot automatische softwarematige combinatie met je postings op sociale media aan toe. Kan met de juiste module allemaal in de combinerende database van die htmlmail vezender!!
.[/i]
Dat terzijde...

Iedere server die jij bezoekt (via mail, browser of wat dan ook) weet je IP adres.
Je mist kennelijk de essentie van dit bericht.
Het gaat er juist om dat als je wel je security en privacy maatregelen had genomen dat onverwacht en onbedoeld gepasseerd wordt via Spotlight en dat dat dus misbruik oplevert.
De nieuwsbrieven vol met tracking images en pixelafbveeldingen werken weer alsook de geindexeerde spam met trackingbugs.
In het geval van spam levert dat dus meer spam op omdat de verzender nu weet dat het gebruikte adres ook bestaat.
Dat wil je juist niet!

Boeiend.
Inderdaad boeiend.
Behalve voor de mensen die geen ruk om security of privacy geven.
Alhoewel, je weet maar nooit of naar aanleiding van dit soort berichten er toch een belletje gaat rinkelen en en nog wat mensen in positieve zin overstag gaan.

Spotlight laad een online preview zien van een email in strijd met de instellingen in Mail. Slordig, maar het blijft een storm in een glas water.
Het is helemaal geen 'Storm in een glas water', het nieuws werd deze keer niet voorzien van de enorme hijgende schreeuwerigheid die je andere keren wel ziet.
Het betreft eigenlijk gewoon scurity nieuws over Mac OS X, het soort meer neutrale normale berichtgeving dat 'we' graag vaker zouden willen zien.

Het is dus een serieus issue waarvan het goed is dat dat ontdekt is.
Het is daarom ook goed als dat wordt opgelost.

Ik heb er meteen maar even een bug voor aangemeld bij Apple.
Bug nr = 19437768
Dat is een goede daad van je, ondanks het feit dat dit nieuws Apple vast al wel ter ore was gekomen.


Voor degenen die meer van engels dan van duits en van inzichtelijke illustraties houden :
http://9to5mac.com/2015/01/09/os-x-yosemite-mail-spotlight-security/
11-01-2015, 15:13 door P5ycH0
"Het is dus een serieus issue waarvan het goed is dat dat ontdekt is."

Goed dat het ontdekt is ja, maar geen serieus issue.
Nog steeds storm in een glas water.
Hoeveel mensen ken jij die hun mail lezen met Spotlight?
11-01-2015, 18:47 door Anoniem
Door P5ycH0:
Hoeveel mensen ken jij die hun mail lezen met Spotlight?

Je lijkt er nog steeds weinig van te snappen.

Nog een keer :

Het gaat om zoeken van informatie via Spotlight, niet primair om het lezen van emails via Spotlight, al zal het wel gebeuren als je op zoek bent naar iets.
Want; je zoekt informatie maar weet niet meer of dat stond in een email, een tekstdocument, een pdf of wellicht een bewaarde webpage.
Kortom, je start een centrale zoekopdracht op je systeem via Spotlight.

Tussen de gepresenteerde zoekresultaten van Spotlight kunnen dus ook besproken 'tracking'mails voorkomen / voorbijkomen die je daarbij dan eventueel previewt.
Het is namelijk niet logisch om de gevonden mails in de zoekresultaten van Spotlight te negeren en opnieuw weer te gaan zoeken in je Apple mailbox.
Je zal dus bij je zoektocht ook mails previewen via het centraal zoeken via Spotlight met besproken ongewenste tracking gevolgen van dien.

Wanneer de security en privacy maatregelen die je had genomen alsnog ongemerkt, ongewild en onbedoeld gepasseerd worden is dat een serieus issue.
Je nam de security en privacy maatregelen immers niet voor niets en nu blijken ze niet in alle gevallen te werken!
Dat wil 'je' niet.

Tja, het is vermoedelijk inderdaad geen serieus issue voor mensen die niet geïnteresseerd zijn in, of minder tot geen waarde hechten aan security en privacy, of zelfs reageerders die de essentie van de ontdekte kwetsbaarheid niet snappen.
Bewaar dan het glaasje water maar voor het moment dat het wel degelijk vervelende consequenties voor je had.
(Wat, heel voordelig, weer niet snel zal voorkomen. Want als je zaken per se niet wil zien, zal je er ook minder snel last van hebben en schijnt zelfs ondergronds nog de zon.)
12-01-2015, 18:57 door Anoniem
Vergeet het 'lekken' van je Spotlight searches ook niet

"How to Stop Apple From Snooping on Your OS X Yosemite Searches"

http://www.wired.com/2014/10/how-to-fix-os-x-yosemite-search/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.