11月9日消息,據國外媒體報道,蘋果聲譽很大程度上取決于其如何保護用戶的隱私,其也希望成為用戶唯一信任的科技公司。但是,如果用戶從蘋果郵件應用程序發送加密郵件,目前有一種方法可以從macOS系統中讀取這些郵件中的某些文本,就好像它們沒有加密一樣。據說,蘋果幾個月前就知道這個漏洞,但沒有提供任何修復。
需要指出的是,這一漏洞只會影響到少部分用戶。只有通過蘋果郵件發送加密郵件,沒有使用FileVault加密整個系統的用戶,而且確切知道在蘋果系統文件中查找相關信息才會發現到這一漏洞。
蘋果表示,其已經意識到了這個問題,并表示將在未來的軟件更新中解決這個問題。該公司還表示,服務器只是存儲了部分電子郵件內容。但事實是,蘋果仍然會以某種方式將部分用戶明確的加密郵件公開,這顯然會造成不好的影響。
專注于研究蘋果的IT專家鮑勃·金德勒(Bob Gendler)周三在一個媒體博客上分享了這一漏洞。金德勒說,在試圖弄清楚macOS和Siri如何向用戶推薦信息時,他發現macOS數據庫文件存儲了來自用戶電子郵件和其他應用程序的信息,然后Siri會利用這些信息向用戶推薦更匹配的信息。這本身并不太令人震驚,蘋果需要參考和學習用戶的一些信息,提供更好的Siri建議。
但金德勒發現了其中一個名為snippets.db的數據庫文件以未加密文本的方式存儲了本應加密的用戶電子郵件。
從下圖中可看出,左邊的圓圈中是一封加密的電子郵件,金德勒在刪除私鑰的情況下無法讀取郵件內容。但是在右邊的圓圈中,金德勒可以在snippes .db中辨認出加密郵件的文本內容。
金德勒說他測試了最近發布的四版macOS系統,分別是Catalina, Mojave, High Sierra和Sierra,發現都可以讀取snippes .db上的加密郵件。現在,不少用戶都能夠確認snippes .db的存在,也發現其存儲了用戶通過蘋果郵件發來的部分加密。
金德勒在7月29日第一次向蘋果公司報告了這個問題,他說直到11月5日,也就是99天后,公司才給他提供了一個臨時的解決方案,期間他們與蘋果公司就這個問題進行了多次對話。盡管蘋果已經更新了macOS的四個版本,其中Gendler在報告后的幾個月里仍然能夠發現這一漏洞,這些更新都沒有包含真正的修復。
如果用戶想阻止蘋果系統將電子郵件內容收集存儲到snippets.db中,蘋果表示可以通過點擊進入系統設置> Siri > Siri建議&隱私>郵件,然后切換 “從這個程序中學習”。金德勒說,蘋果所提供的這種臨時解決方案只會阻止新郵件被添加到snippets.db中。如果用戶想確保可能存儲在snippes .db中的舊電子郵件內容不會再被掃描,你可能需要刪除該文件。
蘋果公司表示,如果用戶想避免這些未加密的片段被其他應用程序讀取,可以限制macOS Catalina操作系統為應用程序提供完整的磁盤訪問權限。蘋果還表示,如果你想要更加安全,那么打開加密措施FileVault可以加密Mac上的所有內容。
同樣,這種脆弱性可能不會影響那么多用戶。但如果用戶認為蘋果郵件內容是完全加密的,那就錯了。正如金德勒所說,“它提出了這樣一個問題:在用戶沒有意識到的情況下,還有哪些內容會被跟蹤并可能以不恰當的方式存儲。”(辰辰)