Una vulnerabilità scoperta di recente nell’app Mail di macOS causata da Siri che attualmente interessa Catalina, e le tre versioni precedenti, mostra il contenuto delle email crittografate degli utenti. Apple sta attualmente lavorando a una correzione per il bug.
Segnalato da The Verge, lo specialista IT di Apple Bob Gendler ha scoperto la vulnerabilità oltre tre mesi fa e l’ha denunciata ad Apple il 29 luglio. Dopo un bel pò di attesa, Gendler ha ricevuto una risposta da Apple questa settimana con una soluzione, il fix sarà incluso in un futuro aggiornamento.
Secondo Gendler, il file di database snippets.db utilizzato da una funzione macOS che offre suggerimenti di contatto archivia le e-mail crittografate in un formato non crittografato, anche quando Siri è disabilitato sul Mac.
In questa e-mail, Gendler dimostra che la chiave privata non è stata resa disponibile in Mail, rendendo illeggibile il messaggio. Tuttavia, continua a essere disponibile nel database.
Questo è un grosso problema per i governi, le società e le persone che usano la posta elettronica crittografata e si aspettano che i contenuti siano protetti. Le informazioni segrete o top-secret, che sono state inviate crittografate, verrebbero esposte tramite questo processo legato al database, così come i segreti commerciali e i dati proprietari.
Apple ha dichiarato a The Verge di essere stato informato del problema e lo risolverà in un futuro aggiornamento del software. Apple ha anche affermato che sono archiviate solo alcune parti di alcune e-mail e ha fornito a Gendler le istruzioni per impedire che i dati vengano archiviati dal database.
Questo problema riguarda un numero limitato di persone e non è qualcosa di cui gli utenti macOS dovrebbero generalmente preoccuparsi. Richiede ai clienti di utilizzare macOS e l’app Mail per inviare e-mail crittografate. Non influisce su coloro che hanno attivato FileVault e una persona che voleva accedere alle informazioni avrebbe anche bisogno di sapere dove cercare i file di sistema di Apple e avere accesso fisico a una macchina.
Gli utenti di Apple Mail che desiderano assicurarsi che le loro email crittografate non vengano archiviate in snippets.db devono accedere a Preferenze di Sistema> Siri> Suggerimenti di Siri e privacy> Mail e disattivare l’opzione “Impara da questa app“.
Leggi o Aggiungi Commenti