Сбой конфиденциальности в Spotlight для OS X может раскрывать спамерам личные данные, включая IP-адреса. О данной уязвимости впервые сообщило немецкое технологическое новостное издание Heise, а затем она была подтверждена в ходе тестов IDG News Service.

Проблема затрагивает пользователей почты OS X, которые следовали общепринятым рекомендациям по безопасности и отключили опцию «загружать удаленный контент в сообщениях» в приложении Mail. Эта настройка предотвращает загрузку удаленного контента, такого как изображения, включая «пиксели отслеживания», которые используются спамерами для сбора информации, когда люди открывают электронное письмо.

Сбой возникает, когда пользователи почты OS X используют поиск Spotlight в OS X, который включает электронные письма в результаты поиска. Spotlight игнорирует предпочтения блокировки удаленного контента из Mail и загружает удаленные файлы электронной почты в рамках процесса поиска. Как только Spotlight загружает один из этих пикселей отслеживания, спамеры могут получить такие сведения, как IP-адрес, версию OS X, данные браузера и версию используемого Quick Look.

Предварительный просмотр Spotlight загружает эти файлы, даже когда пользователи отключили опцию «загружать удаленный контент в сообщениях» в приложении Mail, функцию, которая часто отключается, чтобы отправители писем не знали, было ли доставлено письмо и открыто ли оно. Более того, Spotlight также загружает эти файлы, когда отображает предварительные просмотры неоткрытых писем, которые попали непосредственно в папку «Спам».

В настоящее время единственный способ заблокировать утечку этой информации — запретить Spotlight полностью включать электронные письма в результаты поиска, открыв «Системные настройки» и сняв флажок «Почта и сообщения» для Spotlight. Apple пока не прокомментировала этот сбой конфиденциальности Spotlight.