苹果邮件加密不完全 部分内容仍被存储在系统文件
11月9日消息,据国外媒体报道,苹果声誉很大程度上取决于其如何保护用户的隐私,其也希望成为用户唯一信任的科技公司。但是,如果用户从苹果邮件应用程序发送加密邮件,目前有一种方法可以从macOS系统中读取这些邮件中的某些文本,就好像它们没有加密一样。据说,苹果几个月前就知道这个漏洞,但没有提供任何修复。
需要指出的是,这一漏洞只会影响到少部分用户。只有通过苹果邮件发送加密邮件,没有使用FileVault加密整个系统的用户,而且确切知道在苹果系统文件中查找相关信息才会发现到这一漏洞。
苹果表示,其已经意识到了这个问题,并表示将在未来的软件更新中解决这个问题。该公司还表示,服务器只是存储了部分电子邮件内容。但事实是,苹果仍然会以某种方式将部分用户明确的加密邮件公开,这显然会造成不好的影响。
专注于研究苹果的IT专家鲍勃·金德勒(Bob Gendler)周三在一个媒体博客上分享了这一漏洞。金德勒说,在试图弄清楚macOS和Siri如何向用户推荐信息时,他发现macOS数据库文件存储了来自用户电子邮件和其他应用程序的信息,然后Siri会利用这些信息向用户推荐更匹配的信息。这本身并不太令人震惊,苹果需要参考和学习用户的一些信息,提供更好的Siri建议。
但金德勒发现了其中一个名为snippets.db的数据库文件以未加密文本的方式存储了本应加密的用户电子邮件。
从下图中可看出,左边的圆圈中是一封加密的电子邮件,金德勒在删除私钥的情况下无法读取邮件内容。但是在右边的圆圈中,金德勒可以在snippes .db中辨认出加密邮件的文本内容。
金德勒说他测试了最近发布的四版macOS系统,分别是Catalina, Mojave, High Sierra和Sierra,发现都可以读取snippes .db上的加密邮件。现在,不少用户都能够确认snippes .db的存在,也发现其存储了用户通过苹果邮件发来的部分加密。
金德勒在7月29日第一次向苹果公司报告了这个问题,他说直到11月5日,也就是99天后,公司才给他提供了一个临时的解决方案,期间他们与苹果公司就这个问题进行了多次对话。尽管苹果已经更新了macOS的四个版本,其中Gendler在报告后的几个月里仍然能够发现这一漏洞,这些更新都没有包含真正的修复。
如果用户想阻止苹果系统将电子邮件内容收集存储到snippets.db中,苹果表示可以通过点击进入系统设置> Siri > Siri建议&隐私>邮件,然后切换 “从这个程序中学习”。金德勒说,苹果所提供的这种临时解决方案只会阻止新邮件被添加到snippets.db中。如果用户想确保可能存储在snippes .db中的旧电子邮件内容不会再被扫描,你可能需要删除该文件。
苹果公司表示,如果用户想避免这些未加密的片段被其他应用程序读取,可以限制macOS Catalina操作系统为应用程序提供完整的磁盘访问权限。苹果还表示,如果你想要更加安全,那么打开加密措施FileVault可以加密Mac上的所有内容。
同样,这种脆弱性可能不会影响那么多用户。但如果用户认为苹果邮件内容是完全加密的,那就错了。正如金德勒所说,“它提出了这样一个问题:在用户没有意识到的情况下,还有哪些内容会被跟踪并可能以不恰当的方式存储。”(辰辰)