OS X Yosemite: Daten-Leck durch Spotlight-Vorschau

Florian Matthey 1

OS X Yosemite enthält ein bedenkliches Daten-Leck: Spotlight lädt ungefragt externe Daten, wenn Benutzer nach Fundstellen in E-Mails suchen und die Vorschau-Funktion benutzen.

OS X Yosemite: Daten-Leck durch Spotlight-Vorschau

Ein Heise-Leser ist darauf aufmerksam geworden, dass Spotlight in OS X Yosemite immer dann, wenn der Benutzer sich eine Vorschau eines E-Mail-Suchtreffers anzeigen lässt, die komplette E-Mail lädt - also nicht nur den Text und mitgesendete Anhänge, sondern auch externe Daten, die in die E-Mail in Form von HTML-Code eingebunden sind.

Ein solcher Zugriff lässt sich zwar in Apples Mail-App deaktivieren. Wenn die Einstellungen dort entsprechend angepasst sind, ändert Spotlight sein Verhalten jedoch nicht - die Suchfunktion lädt weiter jedes Mal, wenn eine E-Mail-Vorschau angezeigt wird, sämtliche Daten. Wenn eine E-Mail bei einer Suche als „Top-Suchergebnis“ herauskommt, muss der Benutzer sie zum Anzeigen der Vorschau gar nicht erst auswählen.

Problematisch ist dies vor allem aus dem Grund, dass Absender von Spam-E-Mails durch das Einbinden „unsichtbarer“ externer Bilder, die oft nur ein Pixel groß sind, bestätigt bekommen, dass eine E-Mail tatsächlich geöffnet wurde; dass eine Mail-Adresse also korrekt und aktiv ist. Heise verweist darauf, dass Absender außerdem durch die IP-Adresse die ungefähre geographische Position des Empfängers herausbekommen können - und durch die Mitteilung, welches Betriebssystem der Empfänger verwendet, potentiell auch einfacher Hacker-Angriffe durchführen könnten.

Das Sicherheitsrisiko lässt sich dadurch umgehen, dass der Benutzer in den Spotlight-Einstellungen einfach das Durchsuchen von E-Mails deaktiviert - was natürlich keine wirklich hilfreiche Lösung ist. Allerdings ist mittlerweile auch ein Plug-in vorhanden, mit dem sich Spotlight dazu bringen lässt, Mails in reiner Textdarstellung anzeigen zu lassen.

Zu den Kommentaren

Kommentare zu dieser News

Weitere Themen

* Werbung