Mac OS X lekt soms metadata bij indexeren USB-sticks
Mac OS X blijkt soms metadata te lekken bij het indexeren van USB-sticks, zoals bezochte sites, e-mailadressen, onderwerpen van e-mails en in sommige gevallen ook de eerste regels van een e-mail. Het Finse F-Secure ontving onlangs van iemand een USB-stick die van een Linux-computer naar een Mac-computer was gegaan. Toen de USB-stick weer op de Linux-computer werd aangesloten stonden er allerlei bestanden op.
Verder onderzoek naar deze bestanden wees uit dat ze allerlei gevoelige metadata bleken te bevatten. Het probleem werd uiteindelijk door meerdere mensen gereproduceerd. De boosdoener lijkt de indexering door Spotlight te zijn. Het uitschakelen van Spotlight kan het lekken van de data voorkomen, maar heeft ook gevolgen voor de functionaliteit van de Mac.
Gebruikers die willen weten wat Spotlight bij hen heeft geïndexeerd kunnen bij een geïndexeerd Volume naar boven gaan en dan .Spotlight-V100/Store-V2/[RANDOM HASH]/.store.db. bekijken. Apple zou van het probleem afweten en zelf een onderzoek hebben ingesteld, zo meldt Mark Janssen via Twitter.
Reacties (11)
Volgens mij kun je op rootniveau van een disk, een file neerzetten die aangeeft of de disk door Spotlight geïndexeerd moet worden of niet. En wil je niet met de terminal werken, dan kan dat ook via drag-and-drop acties:
http://www.itworld.com/article/2731740/enterprise-software/turn-off-indexing-by-spotlight-for-external-drives.html
Maar is het niet zo dat die indx-file alleen data bevat die toch al op die disk stonden? En kun je in dat geval wel van lekken spreken?
http://www.itworld.com/article/2731740/enterprise-software/turn-off-indexing-by-spotlight-for-external-drives.html
Maar is het niet zo dat die indx-file alleen data bevat die toch al op die disk stonden? En kun je in dat geval wel van lekken spreken?
Door Briolet: Volgens mij kun je op rootniveau van een disk, een file neerzetten die aangeeft of de disk door Spotlight geïndexeerd moet worden of niet. En wil je niet met de terminal werken, dan kan dat ook via drag-and-drop acties:
http://www.itworld.com/article/2731740/enterprise-software/turn-off-indexing-by-spotlight-for-external-drives.html
Maar is het niet zo dat die indx-file alleen data bevat die toch al op die disk stonden? En kun je in dat geval wel van lekken spreken?
http://www.itworld.com/article/2731740/enterprise-software/turn-off-indexing-by-spotlight-for-external-drives.html
Maar is het niet zo dat die indx-file alleen data bevat die toch al op die disk stonden? En kun je in dat geval wel van lekken spreken?
Vind een lek inderdaad een groot begrip. Netjes is het in ieder geval niet, wanneer ik van mijn collega een USB-stick leen bijvoorbeeld.
Wanneer je alle data op een medium `erased` dien je het medium opnieuw te `excluden` uit index van spotlight.
ook een bug die in Yosimite straks opgelost moet zijn,bij de final release.
16-10-2014, 17:04 door
PietdeVries
Begrijp ik het nou goed dat Spotlight tijdens het indexeren een soort van database(je) op de USB stick zet? Dat in die database dus zoektermen (metadata) staat van files die oorspronkelijk *niet* op de USB stick stonden? Want zo wordt het wel uitgelegd op de site van F-Secure:
Bob uses Linux. Alice uses Mac. Bob gave Alice a file via FAT32 formatted USB drive. Alice inserted the USB drive into her Mac, copied the file, and then gave the USB drive back to Bob. Later, Bob inserted the USB drive into his Linux computer and saw Mac files. Lots and lots of Mac files. And that's typical.
Kennelijk zet OS-X delen van bestanden op de USB stick bij het indexeren? Waarom in godesnaam zou je zoiets doen? Zelfs Microsoft had bij readyboost al bedacht dat als je wat op een extern medium ging zetten dat je OS sneller moest maken, dat je dat encrypted moest doen!
Bob uses Linux. Alice uses Mac. Bob gave Alice a file via FAT32 formatted USB drive. Alice inserted the USB drive into her Mac, copied the file, and then gave the USB drive back to Bob. Later, Bob inserted the USB drive into his Linux computer and saw Mac files. Lots and lots of Mac files. And that's typical.
Kennelijk zet OS-X delen van bestanden op de USB stick bij het indexeren? Waarom in godesnaam zou je zoiets doen? Zelfs Microsoft had bij readyboost al bedacht dat als je wat op een extern medium ging zetten dat je OS sneller moest maken, dat je dat encrypted moest doen!
Door PietdeVries:...
Kennelijk zet OS-X delen van bestanden op de USB stick bij het indexeren? Waarom in godesnaam zou je zoiets doen?...
Kennelijk zet OS-X delen van bestanden op de USB stick bij het indexeren? Waarom in godesnaam zou je zoiets doen?...
...omdat er opzet in het spel is....(zucht)
Allemachtig, is het nu zo moeilijk in te zien dat hier sprake is van een vette fout die men over het hoofd heeft gezien. Zou niet zo mogen zijn, maar is gewoon 2014 hoor, naast al die duizenden bugs/fouten die er elders in andere software aanwezig zijn maar nog steeds niet gevonden/gedetecteerd/geëxploiteerd!
CD burning & Mac OS 9 ?!
Doet denken aan iets van al heel lang geleden dus eigenlijk al heel lang speelt en misschien over hetzelfde gaat.
Was er al onder Mac OS 9 al niet happig op om cd's te branden voor een ander vanwege het automatisch meebranden van de privacy gevoelige desktop db database store files (of hoe ze ook exact mochten heten, het waren er twee).
Dat was destijds al bekend en dit euvel lijkt hier sterk op.
Hoe dat op te lossen was ben ik vergeten, verder nu nog niet naar gekeken. Het lijkt er sterk op dat het cd brand probleem dus is overerfd naar dit disk indexeer model.
Simpel uitschakelen
Onder systeem voorkeuren en spotlight voorkeuren kan je overigens heel eenvoudig onder de privacy tab je disk toevoegen voor het niet indexeren. OS X geeft dan geloof ik in een file op betreffende disk aan dat het niet door OS X geïndexeerd dient te worden.
Een aanrader want als je maar één bestand wil overzetten op een Mac van iemand anders en alleen al om het automatisch indexeren van de overige bestanden op je disk door die andere Mac te voorkomen.
Want waar laat die de index info precies allemaal?
Ben daar nog steeds niet achter.
Daarom altijd de niet index opdracht geactiveerd op welke externe disk dan ook waar meer bestanden op staan.
Dan ben je er nog niet want als die ander een avscanner automatisch laat scanloslopen op inserted disks, dan zullen in voorkomende gevallen alle gescande bestandsnamen plus filepaden overzichtelijk mooi netjes in een avscanlog worden opgeslagen. Op de computer van die ander natuurlijk.
Niet laten indexeren die stick, leeg maken die stick en alleen meenemen wat je aan files nodig hebt voordat je hem ergens anders in prikt.
Tenzij je van 'sharing' houdt en dat schijnt nogal sociaal en ìn te zijn.
;-)
Doet denken aan iets van al heel lang geleden dus eigenlijk al heel lang speelt en misschien over hetzelfde gaat.
Was er al onder Mac OS 9 al niet happig op om cd's te branden voor een ander vanwege het automatisch meebranden van de privacy gevoelige desktop db database store files (of hoe ze ook exact mochten heten, het waren er twee).
Dat was destijds al bekend en dit euvel lijkt hier sterk op.
Hoe dat op te lossen was ben ik vergeten, verder nu nog niet naar gekeken. Het lijkt er sterk op dat het cd brand probleem dus is overerfd naar dit disk indexeer model.
Simpel uitschakelen
Onder systeem voorkeuren en spotlight voorkeuren kan je overigens heel eenvoudig onder de privacy tab je disk toevoegen voor het niet indexeren. OS X geeft dan geloof ik in een file op betreffende disk aan dat het niet door OS X geïndexeerd dient te worden.
Een aanrader want als je maar één bestand wil overzetten op een Mac van iemand anders en alleen al om het automatisch indexeren van de overige bestanden op je disk door die andere Mac te voorkomen.
Want waar laat die de index info precies allemaal?
Ben daar nog steeds niet achter.
Daarom altijd de niet index opdracht geactiveerd op welke externe disk dan ook waar meer bestanden op staan.
Dan ben je er nog niet want als die ander een avscanner automatisch laat scanloslopen op inserted disks, dan zullen in voorkomende gevallen alle gescande bestandsnamen plus filepaden overzichtelijk mooi netjes in een avscanlog worden opgeslagen. Op de computer van die ander natuurlijk.
Niet laten indexeren die stick, leeg maken die stick en alleen meenemen wat je aan files nodig hebt voordat je hem ergens anders in prikt.
Tenzij je van 'sharing' houdt en dat schijnt nogal sociaal en ìn te zijn.
;-)
Leuk als spotlight /etc/passwd heeft geindexeerd en deze naar elke USB stick kopieert..
Echt wel een lek dus.
Echt wel een lek dus.
Door Anoniem: CD burning & Mac OS 9 ?!
Doet denken aan iets van al heel lang geleden dus eigenlijk al heel lang speelt en misschien over hetzelfde gaat.
Was er al onder Mac OS 9 al niet happig op om cd's te branden voor een ander vanwege het automatisch meebranden van de privacy gevoelige desktop db database store files (of hoe ze ook exact mochten heten, het waren er twee).
Dat was destijds al bekend en dit euvel lijkt hier sterk op.
Hoe dat op te lossen was ben ik vergeten, verder nu nog niet naar gekeken. Het lijkt er sterk op dat het cd brand probleem dus is overerfd naar dit disk indexeer model.
Simpel uitschakelen
Onder systeem voorkeuren en spotlight voorkeuren kan je overigens heel eenvoudig onder de privacy tab je disk toevoegen voor het niet indexeren. OS X geeft dan geloof ik in een file op betreffende disk aan dat het niet door OS X geïndexeerd dient te worden.
Een aanrader want als je maar één bestand wil overzetten op een Mac van iemand anders en alleen al om het automatisch indexeren van de overige bestanden op je disk door die andere Mac te voorkomen.
Want waar laat die de index info precies allemaal?
Ben daar nog steeds niet achter.
Daarom altijd de niet index opdracht geactiveerd op welke externe disk dan ook waar meer bestanden op staan.
Dan ben je er nog niet want als die ander een avscanner automatisch laat scanloslopen op inserted disks, dan zullen in voorkomende gevallen alle gescande bestandsnamen plus filepaden overzichtelijk mooi netjes in een avscanlog worden opgeslagen. Op de computer van die ander natuurlijk.
Niet laten indexeren die stick, leeg maken die stick en alleen meenemen wat je aan files nodig hebt voordat je hem ergens anders in prikt.
Tenzij je van 'sharing' houdt en dat schijnt nogal sociaal en ìn te zijn.
;-)
Doet denken aan iets van al heel lang geleden dus eigenlijk al heel lang speelt en misschien over hetzelfde gaat.
Was er al onder Mac OS 9 al niet happig op om cd's te branden voor een ander vanwege het automatisch meebranden van de privacy gevoelige desktop db database store files (of hoe ze ook exact mochten heten, het waren er twee).
Dat was destijds al bekend en dit euvel lijkt hier sterk op.
Hoe dat op te lossen was ben ik vergeten, verder nu nog niet naar gekeken. Het lijkt er sterk op dat het cd brand probleem dus is overerfd naar dit disk indexeer model.
Simpel uitschakelen
Onder systeem voorkeuren en spotlight voorkeuren kan je overigens heel eenvoudig onder de privacy tab je disk toevoegen voor het niet indexeren. OS X geeft dan geloof ik in een file op betreffende disk aan dat het niet door OS X geïndexeerd dient te worden.
Een aanrader want als je maar één bestand wil overzetten op een Mac van iemand anders en alleen al om het automatisch indexeren van de overige bestanden op je disk door die andere Mac te voorkomen.
Want waar laat die de index info precies allemaal?
Ben daar nog steeds niet achter.
Daarom altijd de niet index opdracht geactiveerd op welke externe disk dan ook waar meer bestanden op staan.
Dan ben je er nog niet want als die ander een avscanner automatisch laat scanloslopen op inserted disks, dan zullen in voorkomende gevallen alle gescande bestandsnamen plus filepaden overzichtelijk mooi netjes in een avscanlog worden opgeslagen. Op de computer van die ander natuurlijk.
Niet laten indexeren die stick, leeg maken die stick en alleen meenemen wat je aan files nodig hebt voordat je hem ergens anders in prikt.
Tenzij je van 'sharing' houdt en dat schijnt nogal sociaal en ìn te zijn.
;-)
De 'simpel uitschakelen' optie werkt voor geen meter. Op het moment dat de USBstick wordt verwijderd gooit OSX ook deze instelling weg. Gevolg: ELKE KEER als je de USBstick gebruikt moet je in OSX deze aanpassing handmatig doorvoeren. En ook al plaats je het .metadata_never_index bestand in de root van de stick zal OSX nog steeds eigen bestanden toevoegen.
Heel vervelend! Ik heb er niet om gevraagd, het voegt niets toe en ik kan het ook niet uitzetten.
09:31 door Anoniem: De 'simpel uitschakelen' optie werkt voor geen meter.
Bij mij wel,
meerdere malen getest (met twee Mac's).
1) Op het moment dat je (bijvoorbeeld) een usb stick toevoegt onder de privacy tab van Spotlight om niet te indexeren worden direct de files in de onderliggende "Store" Map (in de ".Spotlight-V100" folder) verwijderd.
In de ".Spotlight-V100" folder is er dan het file "Exclusions.plist" bijgekomen".
Dat file blijft staan wanneer je het verwijdert en de stick in een andere Mac steekt.
Op basis van dat file indexeert de andere Mac de stick en de files daarop ook niet.
2) Wat betreft je andere genoemde methode, namelijk het toevoegen van het onzichtbare bestand
.metadata_never_index
Nà het plaatsen van dit bestand dien je zelf nog wèl het volgende te doen, het eventueel nog verwijderen van de bestanden die in de eerder genoemde "Store" map zijn blijven staan (!).
Misschien waren dit de bestanden die je steeds weer nog zag staan?
Secure leeg daarna je prullenmand en kijk of ook de onzichtbare folders in de invisible folder ".Trashes" eveneens leeg zijn.
Wanneer niet, ook de file's daarin weer weggooien, bijvoorbeeld slepen naar je prullenbak en deze secure legen.
(doe deze check desgewenst ook bij de eerste methode).
3) Werkt het dan nog niet dan is de vraag onderhand wel relevant wat je dan aan het doen bent, dus met wat voor soort drives of sticks je dit doet, en met wat voor soort computers en os-configuraties.
Test je bovenstaande wel met een test usb stickje en testbestandjes?
Mocht er iets niet goed gaan op dat diskje/stickje dan ben je in ieder geval geen originele bestanden kwijt.
4) Tot slot, nogmaals.
Wat F-secure even 'vergeet' te vermelden is dat virusscanners zelf eigenlijk ook een soort van Spyware functie bezitten en een hele index van je diskje kunnen maken, zie de scanlogs van je/een av scanner!
Beter is het dus naast het cleanen van je ".Spotlight-V100" folder om alleen de files op een disk mee te nemen die je nodig hebt en de rest aan gevoelige bestanden eraf te halen.
Niet vergeten als dat belangrijk voor je is.
Succes
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
