Apple Mail kan vise deler av krypterte e-poster i klartekst – ennå ikke fikset

Dersom du bruker Apples egen e-posttjeneste Apple Mail i macOS til å sende krypterte e-poster viser det seg nå at du ikke bør feste altfor stor lit til at disse meldingene faktisk forblir hundre prosent krypterte.

Apple Mail kan vise deler av krypterte e-poster i klartekst – ennå ikke fikset
Foto: Bob Gendler

Blant andre The Verge og ZDNet rapporterer nå at det er funnet en sårbarhet i Apple Mail som gjør det mulig å lese deler av krypterte e-poster i klartekst.

Siri til besvær

Sårbarheten omtales på nettstedet Medium og ble funnet av IT-spesialisten Bob Gendler under en analyse av hvordan stemmeassistenten Siri og macOS håndterer innsamling av informasjonen som benyttes til å komme med mer relevante forslag til brukeren – for eksempel kontaktforslag.

Ifølge Gendler bruker Siri en prosess kalt «suggestd» til å hente inn informasjon fra diverse applikasjoner, og disse lagres i en egen databasefil ved navn «snippets.db».

Det urovekkende ved denne databasen er at den viser seg å lagre innhold fra krypterte e-poster i ukryptert klartekstformat, dersom brukeren har konfigurert Apple Mail til å motta og sende kryptert e-post.

Les også

– Dette er en stor sak. Det er en stor sak for myndigheter, selskaper og vanlige folk som bruker kryptert e-post og forventer at innholdet er beskyttet. Hemmelig eller topphemmelig informasjon som ble sendt kryptert, ville blitt eksponert via denne prosessen, skriver IT-eksperten.

Ikke sluppet fiks ennå

Gendler skal ha testet alle de fire seneste macOS-versjonene Catalina, Mojave, High Sierra og Sierra, og var i stand til å lese kryptert e-posttekst fra databasefilen i samtlige av versjonene.

Deaktivering av Siri hjelper visstnok ikke, da «suggestd»-prosessen er designet for å fortsette å samle inn informasjon for å ha den klar neste gang Siri aktiveres. For å forhindre problemet kan man instruere Siri spesifikt til å ikke samle inn informasjon fra Apple Mail, noe man kan gjøre i system-menyen under Siri-forslag og personvern.

Les også

Man må også slette snippets.db-filen, noe brukeren må gjøre manuelt, da denne ikke automatisk forsvinner selv om man stanser Siri fra å hente inn mail-informasjon.

Apple skal ha visst om sårbarheten en stund, men hittil ikke fikset den tross at flere macOS-oppdateringer har blitt sluppet siden hullet ble kjent. Selskapet sier imidlertid til The Verge at en fiks skal komme i en fremtidig oppdatering.

Les mer om: