Ya se ha hablado mucho de los problemas de privacidad que puede acarrear el uso de Spotlight Suggestions en OS X Mavericks, pero ahora un nuevo fallo de seguridad aparece para poner en riesgo a los usuarios. En este caso se trata de un problema muy conocido de "Carga de contenido externo" en los mensajes de correo electrónico. Este fallo le trajo a Apple muchos problemas en el cliente Mail de iOS, ya que por defecto cargaba todo el contenido externo de un mensaje de correo electrónico hasta iOS 6. Esto permite a un posible atacante explotar bugs en la red interna con CSRF o incluso de SQL Injection, sin tener que interactuar con el usuario.
También esta carga insegura de contenido externo puede usarse para conocer la versión de un sistema operativo, la dirección IP dónde se encuentra una determinada persona o si un mensaje ha sido leído o no. En los clientes de correo Mail de OS X o cualquier otra herramienta profesional para gestionar el correo electrónico esto está controlado.
Figura 1: Opciones de indexación de OS X Spotlight |
Sin embargo, aunque el usuario utilice un correo electrónico que no cargue por defecto el contenido externo de los mensajes, Spotlight, cuando lee los mensajes - para indexarlos en la base de datos en la que el servicio guarda toda la información - sí que lo hace. Esto acaba con toda la privacidad del usuario y por lo tanto se produce un fallo que Apple deberá solucionar cuanto antes. Por ahora, la única solución es desactivar la indexación del correo electrónico por parte de OS X Spotlight para evitar este tipo de filtraciones de información a spammers o doxers.
No hay comentarios:
Publicar un comentario