OS X Yosemite: Spotlight lädt ungefragt externe Inhalte

Die Spotlight-Suche in OS X Yosemite lädt externe E-Mail-Inhalte nach. Diese Datenschutzlücke könnten Angreifer gezielt ausnutzen. Anwender können dem mit einer Alles-oder-nichts-Entscheidung begegnen.

Artikel veröffentlicht am ,
Um das Nachladen von HTML-Inhalten durch Spotlight zu verhindern, muss die E-Mail-Indexierung deaktiviert werden.
Um das Nachladen von HTML-Inhalten durch Spotlight zu verhindern, muss die E-Mail-Indexierung deaktiviert werden. (Bild: Screenshot Golem.de)

Kurz nach der Veröffentlichung von OS X Yosemite ist die erweiterte Spotlight-Suche des Systems erheblich kritisiert worden. Nun ist wohl eine weitere Datenschutzlücke in der Anwendung aufgetaucht, wie Heise berichtet. Die Anwendung untergräbt die Vorkehrungsmaßnahmen des E-Mail-Clients, falls diese für die Suche auch E-Mails indexiert.

So zeigt Spotlight bei einem passenden Suchbegriff eine Vorschau der entsprechenden E-Mail. Handelt es sich dabei aber um eine HTML-Mail, werden auch einige weitere externe Inhalte in der Vorschau nachgeladen, ohne dass beim Anwender nachgefragt oder er darüber informiert wird.

Werden diese Inhalte geladen, wie etwa Bilddateien, kann der Versender nachvollziehen, dass die E-Mail-Adresse existiert, die E-Mail angekommen und geöffnet worden ist. Durch ein individuelles Trackingpixel ließen sich zudem Nutzerprofile erstellen. Darüber hinaus verrät Spotlight so die IP-Adresse des Anwenders sowie über den User-Agent auch Details zum eingesetzten Betriebssystem. Mit Hilfe von Letzterem könnten Angreifer möglicherweise ein zielgerichtetes Vorgehen mit Hilfe von ihnen bekannten Fehlern und Lücken im System planen und umsetzen.

Eigentlich können sich Anwender vor dem beschriebenen Szenario dadurch schützen, dass sie das automatische Nachladen von externen Inhalten einer HTML-E-Mail in der Client-Anwendung deaktivieren. Doch die Suchfunktion ignoriert dies einfach. Da Spotlight aber zumindest noch nicht über eine ähnliche Einstellungsmöglichkeit verfügt, können Nutzer das Verhalten wohl nur auf eine Art unterbinden. Sie müssen die Indexierung der E-Mails komplett deaktivieren. Damit lässt sich das Archiv zwar nicht mehr über die Funktion durchsuchen, eventuelle Trackingmails werden so aber auch nicht mehr angezeigt.

Nachtrag vom 9. Januar 2015, 17:00 Uhr

Inzwischen steht ein erster Workaround für das Problem bereit.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


zettifour 11. Jan 2015

Ja, stimmt. Apples Geschäftsmodell ist nunmal die Herstellung und der Verkauf von...

Anonymer Nutzer 09. Jan 2015

Dann versucht es dir Mails anzuzeigen, die es nicht mehr gibt. Wenn richtig...

kosmonowt 09. Jan 2015

Nach meinem Umstieg auf Yosemite ist mir das ganze sofort aufgefallen, da ich Spotlight...

TheUnichi 09. Jan 2015

Nenn mir mal bitte einen Grund, warum dieser Fehler hier vorsätzlich eingebaut sein...



Aktuell auf der Startseite von Golem.de
Western Australia
Eine radioaktive Kapsel - irgendwo im australischen Outback

Wie eine radioaktive Kapsel in Australien verlorengehen konnte, ob sie gefährlich ist, warum sie so schwierig zu finden war und wofür solche Kapseln eigentlich gut sind.
Ein Bericht von Werner Pluta

Western Australia: Eine radioaktive Kapsel - irgendwo im australischen Outback
Artikel
  1. Streaming: Netflix zieht Maßnahmen gegen Konten-Sharing zurück
    Streaming
    Netflix zieht Maßnahmen gegen Konten-Sharing zurück

    Netflix wird vorerst wohl doch nichts unternehmen, wenn ein Netflix-Konto unerlaubterweise mit anderen geteilt wird.

  2. Objekte in Javascript: Von Literalen, Konstruktoren und Klassen
    Objekte in Javascript
    Von Literalen, Konstruktoren und Klassen

    Objekte kennen alle Entwickler, in Javascript kann man dennoch leicht auf den Holzweg geraten. Wir zeigen, wo die Gefahren lauern und wie man auf dem richtigen Pfad bleibt.
    Eine Anleitung von Dirk Koller

  3. Aktionäre statt Angestellte: Intel spart beim Personal für die Dividende
    Aktionäre statt Angestellte
    Intel spart beim Personal für die Dividende

    Wer nicht entlassen wurde, bekommt weniger Gehalt: Intel spart beim Personal, versucht aber die Aktionäre bei Laune zu halten.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • 15% Extra-Rabatt auf Fernseher bei Otto • Roccat Kone Pro -56% • Xbox Series S + Dead Space 299,99€ • PCGH Cyber Week • MindStar: ASRock RX 7900 XT 949€ • AMD CPU kaufen, SW Jedi Survivor gratis dazu • Philips LED TV 65" 120 Hz Ambilight 999€ • KF DDR4-3600 32GB 91,89€ [Werbung]
    •  /