Det finns en sårbarhet i macOS-versionen av Apple Mail-appen som lämnar en del av texten i krypterade e-postmeddelanden okrypterad, enligt en rapport från IT-specialisten Bob Gendler (via Gränsen ).
Enligt Gendler lagrar databasfilen snippets.db som används av en macOS-funktion som erbjuder kontaktförslag krypterade e-postmeddelanden i okrypterat format, även när syrien är inaktiverat på Mac.
macbook pro-batteriet laddas inte
I det här e-postmeddelandet visar Gendler att den privata nyckeln har gjorts otillgänglig i Mail, vilket gör meddelandet oläsligt. Det fortsätter dock att vara tillgängligt i databasen.
Gendler upptäckte initialt felet den 29 juli och rapporterade det till Apple. Under loppet av flera månader sa Apple att de undersökte problemet, även om det aldrig kom någon lösning. Sårbarheten fortsätter att finnas i macOS Catalina och tidigare versioner av macOS som går tillbaka till macOS Sierra.
Låt mig säga det igen... Snippets.db-databasen lagrar krypterade Apple Mail-meddelanden...helt, helt, helt -- OCRYPTERADE -- läsbara, även med Siri inaktiverat, utan att behöva den privata nyckeln. De flesta skulle anta att inaktivering av Siri skulle stoppa macOS från att samla in information om användaren. Det här är en stor sak.
kommer det en ny airpodsDetta är en stor sak för regeringar, företag och vanliga människor som använder krypterad e-post och förväntar sig att innehållet ska skyddas. Hemlig eller topphemlig information, som skickades krypterad, skulle avslöjas via denna process och databas, liksom affärshemligheter och proprietär data.
Apple berättade Gränsen att den har blivit medveten om problemet och kommer att åtgärda det i en framtida programuppdatering. Apple sa också att bara delar av vissa e-postmeddelanden lagras, och försåg Gendler med instruktioner om hur man förhindrar att data lagras i databasen för utdrag.
Det här problemet påverkar ett begränsat antal personer i praktiken och är inget som macOS-användare i allmänhet bör oroa sig för. Det kräver att kunder använder macOS och Apple Mail-appen för att skicka krypterade e-postmeddelanden. Det påverkar inte de som har FileVault påslaget, och en person som vill komma åt informationen skulle också behöva veta var i Apples systemfiler för att leta och ha fysisk åtkomst till en maskin.
hur tar jag bort mitt itunes-konto
Ändå, som Gendler påpekar, denna speciella sårbarhet 'väcker frågan om vad mer som spåras och potentiellt felaktigt lagras utan att du inser det.'
De som är oroade över det här problemet kan förhindra att data samlas in i databasen snippets.db genom att öppna Systeminställningar och välja Siri sektion, välj Siri Förslag och sekretess, välja Mail och sedan stänga av 'Lär från den här appen.' Detta kommer att stoppa nya e-postmeddelanden från att läggas till i snippets.db men tar inte bort de som redan har inkluderats.
Apple berättade Gränsen att kunder som vill undvika att okrypterade utdrag läses av andra appar kan undvika att ge appar full diskåtkomst i macOS Catalina. Att aktivera FileVault kommer också att kryptera allt på Mac.
Fullständig information om sårbarheten kan vara läs i Gendlers Medium-artikel .
Populära Inlägg