MacOS lekt het ip-adres van gebruikers door lokaal opgeslagen qr-codes in de achtergrond te scannen en uit te voeren, zonder dat gebruikers hier weet van hebben. Dat stellen Matt Hodges van Zinc Labs en Simon Willison, medebedenker van het Django-framework. Inmiddels zijn ze echter op hun claims teruggekomen.
Hodges had een qr-code gemaakt die als "canary token" moest fungeren. Het idee is dat de qr-code ergens wordt geplaatst. Wanneer iemand die hier geen toegang toe zou moeten hebben de qr-code scant, de vervolgens geladen website ervoor zorgt dat er een waarschuwingsmail wordt verstuurd met informatie over het ip-adres en gebruikte user agent van de betreffende persoon.
Een aantal dagen geleden had Hodges een dergelijke qr-code gemaakt waarbij hij een e-mail zou ontvangen bij het scannen van de qr-code, maar besloot daar niets mee te doen en had het bestand in zijn downloadmap gelaten. Vandaag ontving hij opeens allerlei e-mails dat de code was gescand. Verder onderzoek wees uit dat de scan vanaf zijn eigen systeem was uitgevoerd. Mogelijk dat dit ook gebeurt op iOS, aldus Hodges, die van een privacyprobleem spreekt.
Waarom Apple de afbeeldingen van gebruikers scant wordt mogelijk gedaan voor het maken van previews of indexeren via Spotlight, laat iemand op Hacker News weten.
Hodges en Willison laten weten dat de gemaakte claim niet correct is. De qr-code werd niet door macOS gescand, maar via de "recente" shortcuts op het startscherm van Firefox, aldus Hodges.
Deze posting is gelocked. Reageren is niet meer mogelijk.