Галагазета | IT-новости Популярный терминал iTerm2 в течение года "сливал" данные пользователей в Сеть
IT-новости: Популярный терминал iTerm2 в течение года "сливал" данные пользователей в Сеть
^__НаСьКа__^, 22 сентября 2017 г., 22:54
   Терминал iTerm2 каждый раз создавал DNS-запрос с текстовой информацией, над которой был курсор мыши, и проверяло действительность существования этого домена, отправляя запрос на DNS-сервера. Самая главная проблема содержалась в следующих действиях и пользователя: юзер мог ненамеренно оставить курсор мыши над паролями, ключами API или просто над личными данными, которые впоследствии отправлялись на серверы в текстовом формате. Любой хакер может подстеречь такой запрос, не встретив на своём пути никакого шифрования.

(Фотография не найдена)

   В соответствии статистическим отчётам официального сайта приложения, версия 3.0.0 была выпущена в июле 2016 года, из чего следует, что немногим больше года, личные данные пользователей по непреднамеренной ошибке разработчиков "утекали" на сторонние серверы.

   Ответ разработчиков:

   Изначально "подводные камни" в приложении были выявлены ещё десять месяцев назад. Создатели сразу выпустили новую версию 3.0.13, в которой стало возможным отключение функции проверки корректности URL-адресов, которая была включена по умолчанию в ранней версии.
 Только только через год после выпуска "опасной" версии приложения и после отчёта об ошибках от голландского разработчика Питера ван Дейка компанией была выпущена обновлённая версия, в которой эта функция была целиком изъята из программы.

   Джордж Нахман, один из главных разработчиков проекта iTerm2, прокомментировал это так:

   "Мне нет оправданий. Я просто не придал значения возможной глубине вопроса введения подобной функции. Я прошу прощения за то, что не до конца понял проблему, и обещаю впредь быть более аккуратным. Ваша конфиденциальность всегда будет моей главной задачей".

   Пользователям, имеющим iTerm2 версий с 3.0.0 по 3.0.12, рекомендуется обновить приложение как минимум до версии 3.0.13, в которой есть возможность отключения функции проверки валидности: перейдите в пункт меню Preferences  Advanced Semantic History и переведите ползунок "Perform DNS lookups to check if URLs are valid?" в положение No.

(Фотография не найдена)

Источник: tproger.ru/news/iterm2-leaks/
3 0
Просмотров: 346
Подписок на автора: 69
Поделиться



Закрыть
© Team-Tech.ru, 2017 - 2024