Sikkerhet

Apple Mail kan vise deler av krypterte e-poster i klartekst – ennå ikke fikset

Dersom du bruker Apples egen e-posttjeneste Apple Mail i macOS til å sende krypterte e-poster viser det seg nå at du ikke bør feste altfor stor lit til at disse meldingene faktisk forblir hundre prosent krypterte.

11. nov. 2019 - 09:11

Blant andre The Verge og ZDNet rapporterer nå at det er funnet en sårbarhet i Apple Mail som gjør det mulig å lese deler av krypterte e-poster i klartekst.

Siri til besvær

Sårbarheten omtales på nettstedet Medium og ble funnet av IT-spesialisten Bob Gendler under en analyse av hvordan stemmeassistenten Siri og macOS håndterer innsamling av informasjonen som benyttes til å komme med mer relevante forslag til brukeren – for eksempel kontaktforslag.

Ifølge Gendler bruker Siri en prosess kalt «suggestd» til å hente inn informasjon fra diverse applikasjoner, og disse lagres i en egen databasefil ved navn «snippets.db».

Det urovekkende ved denne databasen er at den viser seg å lagre innhold fra krypterte e-poster i ukryptert klartekstformat, dersom brukeren har konfigurert Apple Mail til å motta og sende kryptert e-post.

Den digitale assistenten Siri vil ikke lenger gjøre automatiske opptak av samtalene med brukere. Illustrasjonsfoto.
Les også:

Siri vil ikke lenger gjøre automatiske samtaleopptak

– Dette er en stor sak. Det er en stor sak for myndigheter, selskaper og vanlige folk som bruker kryptert e-post og forventer at innholdet er beskyttet. Hemmelig eller topphemmelig informasjon som ble sendt kryptert, ville blitt eksponert via denne prosessen, skriver IT-eksperten.

Ikke sluppet fiks ennå

Gendler skal ha testet alle de fire seneste macOS-versjonene Catalina, Mojave, High Sierra og Sierra, og var i stand til å lese kryptert e-posttekst fra databasefilen i samtlige av versjonene.

Deaktivering av Siri hjelper visstnok ikke, da «suggestd»-prosessen er designet for å fortsette å samle inn informasjon for å ha den klar neste gang Siri aktiveres. For å forhindre problemet kan man instruere Siri spesifikt til å ikke samle inn informasjon fra Apple Mail, noe man kan gjøre i system-menyen under Siri-forslag og personvern.

Les også:

Nå kan du laste ned Apples nye operativsystem

Man må også slette snippets.db-filen, noe brukeren må gjøre manuelt, da denne ikke automatisk forsvinner selv om man stanser Siri fra å hente inn mail-informasjon.

Apple skal ha visst om sårbarheten en stund, men hittil ikke fikset den tross at flere macOS-oppdateringer har blitt sluppet siden hullet ble kjent. Selskapet sier imidlertid til The Verge at en fiks skal komme i en fremtidig oppdatering.

Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Se flere jobber
Tre jobbtilbud 10 måneder før masteravslutning!
Les mer
Tre jobbtilbud 10 måneder før masteravslutning!
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra