你的终端是安全的吗?iTerm2 中可能通过 DNS 请求泄漏隐私信息

Mac 上的开发者可能非常熟悉 iTerm2 这款终端应用程序,甚至已经用它取代了 Apple 官方终端应用的地位。但就在今天之前,iTerm2中还存在一个严重级别的安全问题——这个问题出现在自动检查功能上的DNS请求中,可能泄露终端内部分内容。相关的用户请务必及时升级版本至最新的 3.0.13 版本,并关闭某些设置。

这个功能能够查询鼠标悬停在 iTerm2 终端内的文本内容,在 iTerm 3.0.0 版中首次引入。也就是说,用户悬停在某个“词汇内容”上的的时候,iTerm2 会自动调查这个“内容”是不是一个有效的URL并自动添加高亮。为了避免通过使用不准确的字符串模式匹配算法创建死链接,该功使用了 DNS 请求来确定这个域名是否真实存在。

意外出现:用户密码以及 API key 被发至 DNS 服务器上

现在的问题在于——应用这个功能的时候,如果用户将鼠标悬停在密码,API密钥,用户名或其他敏感内容的时候,这些内容也会不经意地通过DNS请求泄漏。而我们知道,DNS请求是明文通信,意味着任何能够拦截这些请求的用户都可以访问 iTerm终端中经过鼠标悬停的敏感数据。

而如果查看这个版本的发布信息,我们看到 iTerm2 的 3.0.0 版本是在2016年7月4日发布,这意味着在过去一年中,在不知情的情况下,也许许多用户都将敏感内容泄露给了 DNS 服务器。

iTerm2 开发者致歉

iTerm2 此次信息泄漏事件在10个月之前首次发现。iTerm2的开发者立即在iTerm3.0.13版本中增加了一个选项,让用户可以关闭这个“DNS查询功能”。但新版本中仍然默认将该功能打开。

PowerDNS 的软件工程师 Peter van Dijk 指出除了之前的问题,iTerm2 中还有其他隐私泄露没有得到足够的重视。

iTerm2 以普通文本的形式发送了很多信息(包括密码)到我的ISP DNS服务器上。

今天他也发布了相关的 漏洞报告 来向大家阐述这个问题的严重性。

目前开发者也意识到了这个问题可能导致的后果,并立即发布了 iTerm3.1.1版本进行修复。他对于自己未经深思熟虑、默认启用此功能,向开发者们表示歉意。

没有什么借口,我没有足够重视安全问题。我为我的过失道歉,并且今后一定更加谨慎。你们的隐私安全会是我之后最优先考虑的问题。

目前能够提供的建议是:使用3.0.0和3.0.12之间 iTerm2 版本的用户请至少更新至3.0.13版,然后可以通过

“Preferences ⋙ Advanced ⋙ Semantic History”中将“Perform DNS lookups to check if URLs are valid?” 这个选项改为“NO”。

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2017-09-20

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏北京马哥教育

抓包获取QQ好友IP地址

原理:通过抓包软件,抓取QQ进程,向QQ好向发送UDP数据包,获取QQ好友IP地址 抓包软件:科来网络分析系统 步骤: 1、打开抓包软件,选择网卡,本地进程分析...

640100
来自专栏魏艾斯博客www.vpsss.net

WordPress 百度熊掌号自动推送插件安装使用教程

百度熊掌号是百度推出的新平台,把你网站的原创内容在最短时间内展现到百度搜索结果中,有助于提高百度搜索排名和权重,也就提高了网站流量。按照百度要求,接入百度熊掌号...

52720
来自专栏朱宁的专栏

腾讯视频 WEB 站点 HTTPS 改造:总结篇

2016年 6 月份我们启动了腾讯视频 V 站 的 HTTPS 改造, 由于历史原因,V 站改造涉及了 50 多个 CGI 域名、 10 多个静态资源域名。

1.5K20
来自专栏Java技术栈

两步验证杀手锏:Java 接入 Google 身份验证器实战

大家应该对两步验证都熟悉吧?如苹果有自带的两步验证策略,防止用户账号密码被盗而锁定手机进行敲诈,这种例子屡见不鲜,所以苹果都建议大家开启两步验证的。

64120
来自专栏mini188

技术笔记:Indy IdSMTP支持腾讯QQ邮箱邮件发送

1、腾讯QQ邮箱的授权码问题 因为腾讯邮箱折腾了个底朝天,其要搞什么授权码登录第三方客户端,否则会报这个错误: 'Error: 请使用授权码登录。详情请看: ...

22680
来自专栏安智客

Android 9.0的新增安全特性与TEE

特别是Android8.0以来,安全性是Android版本变更的一个重要因素。从安全性增强方面来看,本次Android9.0版本主要有以下几个方面:

25720
来自专栏魏艾斯博客www.vpsss.net

lnmp1.4 用户及时更新 Let’sEncrypt SSL 证书续期规则

59230
来自专栏菜鸟程序员

色情网站的光棍节“福利”:加密式挂马玩转流氓推广

35320
来自专栏FreeBuf

利用HTC One漏洞破解手机PIN密码

HTC One手机运行的是Android 4.2.2、HBOOT 1.54.0000,它存在一个名为Bootloader的漏洞。这个漏洞早在2014年2月份就报...

29750
来自专栏信安之路

【读者投稿】无线渗透--‘钓鱼’wifi

现在大家的安全意识在逐步提高,也渐渐的对无线网络wifi的安全开始重视起来, 买路由器看安全不,然后WiFi密码设置的非常复杂。现在家庭的路由器的加密模式都是,...

15700

扫码关注云+社区

领取腾讯云代金券