大数据文摘出品
来源:vice
编译:睡不着的iris
TextEdit是一款预装在Mac电脑上看似不太起眼的文本编辑软件,但通过它可以向黑客泄露用户的IP地址。
保罗·伊贝洛发现发现了一个漏洞,当Mac系统用户下载一个txt文件并用TextEdit打开时,黑客就能获取受害者的IP地址。主要问题是TextEdit会自动解析HTML代码。正如伊贝洛在一篇博客文章中解释道,想要触发该漏洞,黑客只需在文本文件中植入一些恶意HTML代码,就可以通过TextEdit向黑客控制的远程服务器发送ping请求。
根据苹果公司的安全更新说明所示,漏洞已于去年修复。对此,苹果公司拒绝置评。
伊贝洛告诉科技媒体网站Motherboard,如果TextEdit的漏洞与其他漏洞一起作用,那会造成更严重的危险,不仅仅是泄露受害者的IP地址,更能让黑客控制受害者的电脑。例如,利用谷歌Zero项目研究员2016年发现的一个漏洞,与TextEdit漏洞一起,就能让黑客在受害电脑上运行JavaScript。
在一次在线聊天中,伊贝洛说,实现远程代码执行(Remote Code Execution,即REC),基本上一切就玩完了!
他很惊讶,TextEdit竟然能够调用硬盘上其他本地文件和文件夹,甚至向远程服务器发送请求。如此,黑客可以利用这些功能将HTML代码隐藏在看似非恶意的文本文件中。
TXT文件中出现有颜色、粗体的文本是很诡异的,伊贝洛马上意识到如果TXT文件中植入类似加粗的html代码,就会使得TXT文件变成这样。
伊贝洛还发现苹果的恶意软件保护系统Gatekeeper基本上将所有下载的.txt文件视为是安全的。
伊贝洛在博客中写道,在他发现的第一批漏洞里,有一个漏洞是从可疑网站下载了TXT文件,Gatekeeper不会隔离该TXT文件。例如,我发现一个从Tor浏览器强制下载的TXT文件,打开后可以绕过Gatekeeper,在没有任何警告的情况下泄露受害者的真实IP地址。这不是一种很直接的攻击行为。
尼古拉斯•普塔塞克是一名在SecureMac工作的研究人员,他告诉Motherboard,他在一台旧Mac电脑上重复操作后,确认伊贝洛发现的漏洞确实存在。
通过看似非恶意的文本文件能向第三方发送任意数据……这表明规范输入的重要性,特别在文本解析应用程序里显得更加重要。普塔塞克在一次在线聊天中告诉Motherboard,MacOS系统就像是一个大杂烩,来确定一个文件类型和给定应用程序如何解析内容。
好消息是,只要你更新一次MacOS系统,就无需担心这个漏洞。坏消息是,TextEdit可能会有更多的漏洞。伊贝洛说他发现了另一个漏洞,正在研究中,一旦完成就会向苹果报告。
https://www.vice.com/en/article/qjpgyp/bug-in-macs-default-text-app-could-let-hackers-reveal-your-ip-address