OS X Yosemite: Spotlight-Suche verrät Daten an Spammer

Die Spotlight-Suche in Max OS X Yosemite ist durch eine Schwachstelle aufgefallen, die potenziell zur Preisgabe privater Daten führt. Die Suchfunktion erfasst auch eingegangene E-Mails, lädt für ihre Vorschau ungefragt in ihnen verlinkte externe Bilder – und liefert damit insbesondere Spammern begehrte Tracking-Informationen für die Erstellung von Kundenprofilen.

Das geschieht selbst dann, wenn der Anwender das Nachladen von Bildern von externen Servern in den Einstellungen für Apples Mail-Client bewusst deaktiviert hat, wie von Datenschutzexperten angeraten. Außerdem betrifft es selbst ungelesene E-Mails, die sich aus guten Gründen im Spam-Ordner befinden.

Zur Praxis von Spam-Versendern gehört das Verlinken von Tracking-Pixels, um Informationen über die Empfänger zu sammeln. Über diese GIF-Dateien mit nur einem Pixel können sie die IP-Adresse erfahren und damit den ungefähren Standort des Empfängers bestimmen. Spammer bringen damit in Erfahrung, ob eine E-Mail bei der jeweiligen Adresse angekommen ist – und wann oder wie oft sie gegebenenfalls geöffnet wurde. Enthüllt werden ihnen außerdem die aktuelle OS-Version, Details über den Browser, Versionsnummern verschiedener Anwendungen und mehr. Informationen über das System eines Nutzers können für Hacker für Interesse sein, um gezielt bekannte Sicherheitslücken zu nutzen.

Apple reagierte bislang nicht auf Anfragen und nahm nicht dazu Stellung, warum Spotlight die Privacy-Einstellungen in seinem Mail-Programm ignoriert. Das Datenschutzproblem der Spotlight-Suche fiel zuerst einem Leser von Heise Online auf. Demnach telefonieren Mails auch bei früheren Versionen von OS X nach Hause, obwohl Spotlight ihre Vorschau nur verzögert präsentiert. Bestätigt wurde der Fehler von IDG News Service durch den Versand von E-Mails mit Tracking-Pixeln an eine mit Apple Mail verbundene Adresse. Er empfiehlt, das Durchsuchen von „Mail und Nachrichten“ in den Einstellungen der Spotlight-Suche abzuwählen.

Die überarbeitete Spotlight-Suchfunktion kam schon im Oktober in die Kritik wegen der automatischen Erfassung von Standort- und Suchanfragedaten des Nutzers, die offenbar an Apples Server übertragen wurden. Apple präzisierte daraufhin die Angaben zur Datenverwendung in Spotlight, konnte aber nicht alle Anwender überzeugen.

Benjamin Mayo fragte sich in seinem Tweet etwa: „Warum spioniert Apple meinen Standort aus?“ Zudem wurde der Kurznachrichtendienst von Dutzenden Anwendern genutzt, um Mac-Besitzer darin zu unterrichten, wie sie das Feature ausschalten können. Das gelingt über Systemeinstellungen – Spotlight durch Deaktivierung der Optionen „Spotlight-Vorschläge“ und „Bing Websuchen“. Um den Standortdienst von Spotlight auszuschalten, deaktiviert man unter Systemeinstellungen – Sicherheit – Privatsphäre – Ortungsdienste – Details die Option „Spotlight-Vorschläge“.