Proponha uma correção, faça uma sugestão
Pré-visualização do Spotlight põe em causa segurança do OSX
É a interligação entre os diferentes componentes dentro de um sistema operativo que faz com que surjam funcionalidades e características únicas nestes.
O problema é que por vezes essa ligação é profunda demais e existem acessos não autorizados a zonas sensíveis e bloqueadas dos sistemas.
É precisamente este o problema que agora foi descoberto no Spotlight do OSX Yosemite. O acesso às mensagens de email pelo Spotlight pode colocar em causa a segurança deste sistema.
Os últimos meses têm sido bastante severos para o OSX no campo da segurança. Foram várias as falhas descobertas e que colocaram em causa os dados dos utilizadores e as suas máquinas.
Uma nova falha de segurança, agora descoberta e anunciada, revela que o acesso do Spotlight ao email no OSX pode revelar informações sobre o utilizador e sobre o sistema em que está a correr.
Ao serem pesquisados termos no Spotlight este vai ler também as mensagens que estão no cliente de email e caso o termo procurado esteja presente este vai surgir na pré-visualização.
O problema reside no facto de o Spotlight carregar todo o conteúdo na presente nas mensagens, até aquele que está remoto, mesmo que a configuração do cliente de email não tenha essa opção activa.
Ao carregar esse conteúdo remoto o Spotlight pode estar a executar código presente nesses ficheiros e estar a enviar informações sobre o OSX e sobre o utilizador.
Muitas vezes a recolha de dados dos utilizadores, para efeitos de marketing, é feita com o envio de mensagens de mail com chamadas a conteúdos externos e que enviam para sistemas centrais informações diversas. É possível na maioria dos clientes de email desabilitar o carregar desses conteúdos e assim evitar a propagação de informação.
Ao contornar esta definição do cliente de email do OSX, o Spotlight está a expor os utilizadores à recolha de informação, que pode bem ser explorada por atacantes para enquadrar o sistema onde o utilizador está.
Felizmente este problema de segurança tem uma forma simples de ser resolvido, se bem que à custa da perda da indexação das mensagens de email no Spotlight.
Basta que os utilizadores acedam às Preferências do Sistema e que depois escolham o Spotlight. Dentro da janela do Spotlight apenas precisam de remover a selecção que está feita na opção Mail e Mensagens.
Esta deverá ser uma falha de segurança que a Apple conseguirá resolver facilmente. No entanto ainda não surgiu qualquer informação da própria Apple sobre o problema e nem uma data para que surja uma solução a ser aplicada.
Uma funcionalidade tão útil como a pesquisa do Spotlight por vezes revela-se perigosa e propensa a problemas de segurança, como se pode ver neste caso agora descoberto.
Este artigo tem mais de um ano
Loading ...
oooops, lá vai o Benchmark e amigos mandar-se para o dual boot com Windows, näo vá correr um código malicioso e encravar o novo update do iOS via cabo…
E ainda se mete no AirPort e lá se vai o resto…
Tens toda a razão. O título e post estão errados – não é pôr em causa a segurança NÃO HÁ NENHUM PROBLEMA DE SEGURANÇA – é pôr em causa a privacidade – em determinadas condições, saber o meu IP, versão do SO, do browser,
Mais em:
http://www.itworld.com/article/2867215/glitch-in-os-x-search-can-expose-private-details-of-apple-mail-users.html
É a informação que habitualmente se deixa quando se acede a qualquer site web como se pode ver por aqui:
http://www.tracemyip.org
As vezes penso que as marcas que esta gente tao defente (Apple/Google/Microsoft) vos dá de comer…
Ó Petrus Nonius, as questões de segurança informática são sérias. Esta não é uma questão de segurança e dizer isso é serviço público.
Se tinhas gosto que fosse e te contrariei, temos pena. Se não perceberes a diferença eu amanhã explico.
Com a agravante que notificaste o suposto spammer em que abriste o seu email, sendo o teu endereço válido e um possivel alvo para futuros mails do género.
enfim…
Olha-me esse perigo grave que é receber spam!
Se achas que expor o endereço IP, a versão do SO e do browser a sabe-se lá quem na Internet não é um problema de segurança, tenho ali uma ponte novinha em folha para te vender. É verdade que se estiveres atrás dum router tipo os do MEO ou Nós, estás mais protegido, por ser bem mais difícil fazer um ataque direto ao computador, mas podem sempre mandar-te um e-mail com um anexo-bomba que sabem que vai funcionar no teu computador.
E a questão nem é tanto essa, a questão é mais que o Spotlight faz isso sem que o utilizador saiba, enquanto que navegar na net parece-me que é algo que a pessoa que o está fazer sabe que o está a fazer…
Ora diz lá o que é que me vais fazer se eu estiver ligado diretamente á net, e tu saibas o meu IP?
NADA!
Tu és um consumidor normal! Tu não tens portas abertas á Internet externa! Ninguém te entra no PC se não deixares portas abertas.
Quem tem servidores abertos á Internet, também sabe o que está a fazer… ou é obrigação… já que instalou isso…
Enfim… fala do que sabes, antes de vires para aqui dares lições..
é por estas e por outras que pra ja deixo-me estar com a versão anterior, á espera que a próxima versão seja melhor.
Parece que a Apple esta a ficar como a Microsoft, SO Bom, SO Mau, SO Bom, SO Mau.
Vamos ver se este ano é SO Bom. lol
Apple a afundar , flop após flop
Enquanto os Apple haters se deliciam com estas notícias de aquecer a alma na esperança de que a Apple um dia falhe, olha só o que se passa na concorrência…
http://www.cvedetails.com/cve/CVE-2014-6321/
Isto, é um problema grave, o da notícia, não é, no máximo, corres um JavaScript, que não faz nada ao sistema, não sai da página…
Já nessa notícia aí, é uma falha do mais grave que existe. 10/10 e houveram notícias? Claro que não… É normal. Não é a Apple, não interessa…
É como tem esta,matem muitas mais…
Devias ter lido o link que mandaste até ao fim e terias visto que foi corrigido no dia 9 de dezembro.
E houve montanhas de notícias sobre isso, ou não ligas muito às notícias de informática ou ligas e foste a única pessoa no mundo que conseguiu não as ver.
E isso pela simples razão porque, e isso sim seria uma boa razão para apontares falhas na concorrência, a primeira atualização, em 17 de novembro, deu cabo duma data de outras coisas e teve de ser corrigida, desta vez bem, no dia 9 de dezembro.
Pois…
Quase um mês, com uma vulnerabilidade 10/10 completamente ABERTA…
Isto em computadores que custam o preço de um carro… mas só no sistema operativo Microsoft, sem contar com outros softwares!!!!!!
Já isto… daqui a uma semana, no máximo, está fechado pela Apple, mesmo que não possa causar dano nenhum…
Houve notícias? Aonde? Em quase todos os sites passou esta notícia, já essa falha, não…
Mas pessoas como tu, ficam logo contentíssimas… como se vê…
Parece que a Apple começa a ter os mesmos problema que a Microsoft. Pois, é normal… Mais utilizadores, atualizações frequentes… Não existem milagres. Obviamente que não estou a dizer que o sistema é mau. Nada disso. Mas Windows ou OSX, é tudo uma questão de gosto. Não me venham com as guerrinhas constantes a dizerem que Mac é que é bom… Vocês têm um computador como os outros. E eu também, que também cá ando. Isto é um intel. Pessoal… Deixem-se de fanatismos. Não se ademite pagarmos 1500 por um dualcore, quando por 1000 euros, ou menos, conseguimos ter um I7 quadcore… O Windows 8.1 está bastante bom. Pode ter problemas… O Mac também tem.
A Apple só faz algo decente enquanto mantém o hardware e software simples, daí ter tanta aversão a adicionar novas funções aos seus SO. Como se vê no iOS, e OSX mal adicionam meia dúzia de coisas lá andam os telemóveis a reiniciar, baixar performance, buracos de segurança …
Dizer que “uma linha de código” é mais segura que “dez linhas de código” é fácil, agora quando nivela vêem-se os problemas
Isto não é nenhum problema de segurança, mas sim de privacidade.
O máximo que pode acontecer é o conteúdo de um email ser carregado e esse email ter um pixel de rastreamento com um script a correr no servidor. As informações que podem ser obtidas são o IP, o sistema operativo e pouco mais. Ou seja as mesmas informações que qualquer servidor web obtém sempre que vistamos algum site.
E um problema de privacidade não é uma falha de segurança?
Se for invadida a privacidade pessoal do utilizador em que se acede a dados pessoais, como contactos, pode ser considerada uma falha de segurança.
Neste caso não é invadida a privacidade pessoal, mas sim de alguns dados referentes ao computador, como o IP por exemplo.
Com já disse no comentário anterior, os dados a que se consegue aceder são os mesmos dados que estão disponíveis em qualquer web server quando visitamos um site.
No meu ponto de vista, neste caso não representa nenhuma falha de segurança.
Já mandei três comentários, sensivelmente iguais, não entrou nenhum. Se andam por aí, será melhor deixar o do comentário ao Fábio.
O comentário foi censurado.