Mac 上的開(kāi)發(fā)者可能非常熟悉 iTerm2 這款終端應(yīng)用程序，甚至已經(jīng)用它取代了 Apple 官方終端應(yīng)用的地位。但就在今天之前，iTerm2中還存在一個(gè)嚴(yán)重級(jí)別的安全問(wèn)題——這個(gè)問(wèn)題出現(xiàn)在自動(dòng)檢查功能上的DNS請(qǐng)求中，可能泄露終端內(nèi)部分內(nèi)容。相關(guān)的用戶(hù)請(qǐng)務(wù)必及時(shí)升級(jí)版本至最新的 3.0.13 版本，并關(guān)閉某些設(shè)置。

這個(gè)功能能夠查詢(xún)鼠標(biāo)懸停在 iTerm2 終端內(nèi)的文本內(nèi)容，在 iTerm 3.0.0 版中首次引入。也就是說(shuō)，用戶(hù)懸停在某個(gè)“詞匯內(nèi)容”上的的時(shí)候，iTerm2 會(huì)自動(dòng)調(diào)查這個(gè)“內(nèi)容”是不是一個(gè)有效的URL并自動(dòng)添加高亮。為了避免通過(guò)使用不準(zhǔn)確的字符串模式匹配算法創(chuàng)建死鏈接，該功使用了 DNS 請(qǐng)求來(lái)確定這個(gè)域名是否真實(shí)存在。

　　意外出現(xiàn)：用戶(hù)密碼以及 API key 被發(fā)至 DNS 服務(wù)器上

現(xiàn)在的問(wèn)題在于——應(yīng)用這個(gè)功能的時(shí)候，如果用戶(hù)將鼠標(biāo)懸停在密碼，API密鑰，用戶(hù)名或其他敏感內(nèi)容的時(shí)候，這些內(nèi)容也會(huì)不經(jīng)意地通過(guò)DNS請(qǐng)求泄漏。而我們知道，DNS請(qǐng)求是明文通信，意味著任何能夠攔截這些請(qǐng)求的用戶(hù)都可以訪問(wèn) iTerm終端中經(jīng)過(guò)鼠標(biāo)懸停的敏感數(shù)據(jù)。

而如果查看這個(gè)版本的發(fā)布信息，我們看到 iTerm2 的 3.0.0 版本是在2016年7月4日發(fā)布，這意味著在過(guò)去一年中，在不知情的情況下，也許許多用戶(hù)都將敏感內(nèi)容泄露給了 DNS 服務(wù)器。

iTerm2 開(kāi)發(fā)者致歉

iTerm2 此次信息泄漏事件在10個(gè)月之前首次發(fā)現(xiàn)。iTerm2的開(kāi)發(fā)者立即在iTerm3.0.13版本中增加了一個(gè)選項(xiàng)，讓用戶(hù)可以關(guān)閉這個(gè)“DNS查詢(xún)功能”。但新版本中仍然默認(rèn)將該功能打開(kāi)。

PowerDNS 的軟件工程師 Peter van Dijk 指出除了之前的問(wèn)題，iTerm2 中還有其他隱私泄露沒(méi)有得到足夠的重視。

iTerm2 以普通文本的形式發(fā)送了很多信息（包括密碼）到我的ISP DNS服務(wù)器上。

今天他也發(fā)布了相關(guān)的 漏洞報(bào)告 來(lái)向大家闡述這個(gè)問(wèn)題的嚴(yán)重性。

目前開(kāi)發(fā)者也意識(shí)到了這個(gè)問(wèn)題可能導(dǎo)致的后果，并立即發(fā)布了 iTerm3.1.1版本進(jìn)行修復(fù)。他對(duì)于自己未經(jīng)深思熟慮、默認(rèn)啟用此功能，向開(kāi)發(fā)者們表示歉意。

沒(méi)有什么借口，我沒(méi)有足夠重視安全問(wèn)題。我為我的過(guò)失道歉，并且今后一定更加謹(jǐn)慎。你們的隱私安全會(huì)是我之后最優(yōu)先考慮的問(wèn)題。

目前能夠提供的建議是：使用3.0.0和3.0.12之間 iTerm2 版本的用戶(hù)請(qǐng)至少更新至3.0.13版，然后可以通過(guò) “Preferences Advanced Semantic History”中將“Perform DNS lookups to check if URLs are valid?” 這個(gè)選項(xiàng)改為“NO”。