Wenn ich unter macOS High Sierra 10.13.2 den Bildschirm manuell sperre (Umschalt+Strg+Ein/Aus) und später eine beliebige Taste drücke, um ihn einzuschalten, wird der Bildschirminhalt, der zum Zeitpunkt der Sperrung des Bildschirms angezeigt wurde, kurz auf dem Bildschirm angezeigt (etwa 1/30 oder 1/60 Sekunde – ich kann es mit einer Hochgeschwindigkeitskamera messen, aber es spielt keine große Rolle), bevor schließlich die Anmelde-Benutzeroberfläche angezeigt wird.
Ich habe es vor High Sierra noch nie gesehen, aber jetzt kann ich es zu 100% reproduzieren. Das ist wirklich ärgerlich, weil es einem Fremden ermöglichen könnte, Bildschirminhalte zu erfassen, die unmittelbar vor dem Sperren des Bildschirms angezeigt wurden.
Ich habe eine Problemumgehung gefunden, die alles andere als perfekt ist: Sperren Sie den Bildschirm, wachen Sie auf und drücken Sie "Esc", um den Bildschirm wieder auszuschalten. Beim nächsten Aufwachen wird dann nichts verraten.
Wenn ich cmd+ctrl+Q verwende, um die Sitzung zu sperren, wie in den Kommentaren vorgeschlagen, wird der Fehler weniger häufig, löst ihn aber nicht wirklich. Mit anderen Worten, es verwandelt einen selbst erschossenen Selbstmord in ein russisches Roulette.
Gibt es bessere Workarounds? Lohnt es sich, Apple einen Sicherheits-/Datenschutzfehler zu melden?
Ja – der Bildpuffer sollte als Teil des Schlaf-/Sperrvorgangs gelöscht/verworfen werden, egal wie kurz das Rendern ist. Ich denke nicht, dass es ein großes Risiko ist und wie Sie sagen, durch Abmelden vom Bildschirm vor dem Sperren oder auf andere Weise wie zeitgesteuerte Sperren gemildert werden kann.
Dies kann in Monterey 12.3, Big Sur und Catalina als CVE-2022-22656 behoben werden
Ich würde mich einfach abmelden oder den schnellen Benutzerwechsel aktivieren und vom Bildschirm wegschalten, anstatt den Bildschirmschoner sperren zu lassen.
Apple veröffentlicht eine Seite mit Anweisungen zum Melden von Problemen. Wenn dies eine große Lücke wäre, würde ich in Betracht ziehen, Sie zu bitten, den Thread zu löschen, aber ich denke nicht, dass dies "den Planeten stoppen" ernst ist, es sei denn, es gibt eine Möglichkeit, dieses "Feature" zu missbrauchen.
https://support.apple.com/en-us/HT201220
Sicherheits- und Datenschutzforscher
Um Sicherheits- oder Datenschutzprobleme zu melden, die Apple-Produkte oder Webserver betreffen, wenden Sie sich bitte an product-security@apple.com.
product-security@apple.com
, hoffentlich werden sie etwas unternehmen
John Keates
Anzeigename
John Keates
Anzeigename
EJ Mak
Huacanacha
Anzeigename
Huacanacha
Daniel A. Shockley
henrijs
Jeff Adamson
Fahrrad