Aunque Spotlight se ha convertido en una de las herramientas mas útiles de OS X, también ha traído consigo mucha polémica; una polémica que no termina con el descubrimiento de que Spotlight en Yosemite expone detalles privados.

En particular, según dos estudios, el problema está en la manera en la que Spotlight muestra las imágenes que acompañan a correos electrónicos. Como estas imágenes están guardadas en servidores externos, pueden servir para saber si el destinatario ha abierto el correo y para averiguar datos como la dirección IP, nuestra dirección de correo y la cantidad de veces que hemos accedido a él.

Spotlight en Yosemite expone detalles privados por un error algo “tonto”

yosemite-spotlight

Por eso cualquier cliente de correo que merezca la pena incluye una opción para no cargar las imágenes, y en algunos como Gmail esta es la opción por defecto. La aplicación de correo de Yosemite también permite bloquear la carga de imágenes, pero por algún motivo Spotlight se salta esa preferencia y siempre muestra las imágenes de un correo cuando este aparece por una búsqueda.

El resultado es que spammers pueden mandar correos con términos muy variados con una imagen, y cuando busquemos el término en Spotlight la imagen se mostrará desde el servidor externo dándoles nuestra dirección IP y asegurándoles que la nuestra es una dirección válida para continuar los ataques. Incluso aunque desactivemos el envío de búsquedas en Spotlight este bug sigue presente. Apple no ha comentado por el momento nada al respecto, pero es de esperar que lance alguna actualización que obligue a Spotlight a revisar nuestras preferencias.