Blant andre The Verge og ZDNet rapporterer nå at det er funnet en sårbarhet i Apple Mail som gjør det mulig å lese deler av krypterte e-poster i klartekst.
Siri til besvær
Sårbarheten omtales på nettstedet Medium og ble funnet av IT-spesialisten Bob Gendler under en analyse av hvordan stemmeassistenten Siri og macOS håndterer innsamling av informasjonen som benyttes til å komme med mer relevante forslag til brukeren – for eksempel kontaktforslag.
Ifølge Gendler bruker Siri en prosess kalt «suggestd» til å hente inn informasjon fra diverse applikasjoner, og disse lagres i en egen databasefil ved navn «snippets.db».
Det urovekkende ved denne databasen er at den viser seg å lagre innhold fra krypterte e-poster i ukryptert klartekstformat, dersom brukeren har konfigurert Apple Mail til å motta og sende kryptert e-post.
– Dette er en stor sak. Det er en stor sak for myndigheter, selskaper og vanlige folk som bruker kryptert e-post og forventer at innholdet er beskyttet. Hemmelig eller topphemmelig informasjon som ble sendt kryptert, ville blitt eksponert via denne prosessen, skriver IT-eksperten.
Ikke sluppet fiks ennå
Gendler skal ha testet alle de fire seneste macOS-versjonene Catalina, Mojave, High Sierra og Sierra, og var i stand til å lese kryptert e-posttekst fra databasefilen i samtlige av versjonene.
Deaktivering av Siri hjelper visstnok ikke, da «suggestd»-prosessen er designet for å fortsette å samle inn informasjon for å ha den klar neste gang Siri aktiveres. For å forhindre problemet kan man instruere Siri spesifikt til å ikke samle inn informasjon fra Apple Mail, noe man kan gjøre i system-menyen under Siri-forslag og personvern.
Man må også slette snippets.db-filen, noe brukeren må gjøre manuelt, da denne ikke automatisk forsvinner selv om man stanser Siri fra å hente inn mail-informasjon.
Apple skal ha visst om sårbarheten en stund, men hittil ikke fikset den tross at flere macOS-oppdateringer har blitt sluppet siden hullet ble kjent. Selskapet sier imidlertid til The Verge at en fiks skal komme i en fremtidig oppdatering.