安全路透社
当前位置:安全路透社 > 网络转载 > 正文

你的终端是安全的吗?iTerm2 中可能通过 DNS 请求泄漏隐私信息

 Mac 上的开发者可能非常熟悉 iTerm2 这款终端应用程序,甚至已经用它取代了 Apple 官方终端应用的地位。但就在今天之前,iTerm2中还存在一个严重级别的安全问题——这个问题出现在自动检查功能上的DNS请求中,可能泄露终端内部分内容。。相关的用户请务必及时升级至3.0.13及以上版本,并关闭某些设置。

这个功能能够查询鼠标悬停在 iTerm2 终端内的文本内容,在 iTerm 3.0.0 版中首次引入。也就是说,用户悬停在某个“词汇内容”上的的时候,iTerm2 会自动调查这个“内容”是不是一个有效的URL并自动添加高亮。为了避免通过使用不准确的字符串模式匹配算法创建死链接,该功使用了 DNS 请求来确定这个域名是否真实存在。

iTerm2.png

意外出现:用户密码以及 API key 被发至 DNS 服务器上

现在的问题在于——应用这个功能的时候,如果用户将鼠标悬停在密码,API密钥,用户名或其他敏感内容的时候,这些内容也会不经意地通过DNS请求泄漏。而我们知道,DNS请求是明文通信,意味着任何能够拦截这些请求的用户都可以访问 iTerm终端中经过鼠标悬停的敏感数据。

而如果查看这个版本的发布信息,我们看到 iTerm2 的 3.0.0 版本是在2016年7月4日发布,这意味着在过去一年中,在不知情的情况下,也许许多用户都将敏感内容泄露给了 DNS 服务器。

iTerm2 开发者致歉

iTerm2 此次信息泄漏事件在10个月之前首次发现。iTerm2的开发者立即在iTerm3.0.13版本中增加了一个选项,让用户可以关闭这个“DNS查询功能”。但新版本中仍然默认将该功能打开。

 PowerDNS 的软件工程师 Peter van Dijk 指出除了之前的问题,iTerm2 中还有其他隐私泄露没有得到足够的重视。

iTerm2 以普通文本的形式发送了很多信息(包括密码)到我的ISP DNS服务器上。

今天他也发布了相关的 漏洞报告 来向大家阐述这个问题的严重性。

目前开发者也意识到了这个问题可能导致的后果,并立即发布了 iTerm3.1.1版本进行修复。他对于自己未经深思熟虑、默认启用此功能,向开发者们表示歉意

没有什么借口,我没有足够重视安全问题。我为我的过失道歉,并且今后一定更加谨慎。你们的隐私安全会是我之后最优先考虑的问题。

iTerm-disable.png

目前能够提供的建议是:使用3.0.0和3.0.12之间 iTerm2 版本的用户请至少更新至3.0.13版,然后可以通过 “Preferences ⋙ Advanced ⋙ Semantic History”中将“Perform DNS lookups to check if URLs are valid?” 这个选项改为“NO”

*参考来源:bleepingcomputer,本文作者Elaine,转载请注明FreeBuf.COM

未经允许不得转载:安全路透社 » 你的终端是安全的吗?iTerm2 中可能通过 DNS 请求泄漏隐私信息

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册