“MacOS lekt ip-adres gebruiker door qr-codes in achtergrond te scannen”
MacOS lekt het ip-adres van gebruikers door lokaal opgeslagen qr-codes in de achtergrond te scannen en uit te voeren, zonder dat gebruikers hier weet van hebben. Dat stellen Matt Hodges van Zinc Labs en Simon Willison, medebedenker van Django-framework.
Hodges had een qr-code gemaakt die als “canary token” moest fungeren. Het idee is dat de qr-code ergens wordt geplaatst. Wanneer iemand die hier geen toegang toe zou moeten hebben de qr-code scant, de vervolgens geladen website ervoor zorgt dat er een waarschuwingsmail wordt verstuurd met informatie over het ip-adres en gebruikte user agent van de betreffende persoon.
Een aantal dagen geleden had Hodges een dergelijke qr-code gemaakt waarbij hij een e-mail zou ontvangen bij het scannen van de qr-code, maar besloot daar niets mee te doen en had het bestand in zijn downloadmap gelaten. Vandaag ontving hij opeens allerlei e-mails dat de code was gescand. Verder onderzoek wees uit dat de scan vanaf zijn eigen systeem was uitgevoerd. Mogelijk dat dit ook gebeurt op iOS, aldus Hodges, die van een privacyprobleem spreekt.
Waarom Apple de afbeeldingen van gebruikers scant wordt mogelijk gedaan voor het maken van previews of indexeren via Spotlight, laat iemand op Hacker News weten.
Bron: Security.nl