Nyers szövegként tesz elérhetővé titkosított emaileket egy macOS bug
Az Apple július óta tud a hibáról, de javítás még nem érkezett, a cég csak ideiglenes megoldást javasolt a problémára.
Titkosítási hibát foltoz asztali email kliensében az Apple - a cég ugyanakkor nem sieti el a javítást, a problémáról ugyanis már legalább július óta tud. A szóban forgó bug lehetővé teszi, hogy az Apple Mailben elküldött, titkosított emailek egyes részei egyszerű szövegként olvashatók legyenek, mint ha hagyományos, titkosítatlan levelezésbe néznének bele. A probléma azokat a macOS-es Apple Mail felhasználóit érinti, közülük is azokat, akik a titkosított leveleket a kliens felületéről küldik el, és nem használják a macOS titkosítási megoldását, azaz a FileVaultot a teljes rendszer titkosítására.
A hibát Bob Gendler biztonsági szakértő fedezte fel, és jelezte az Apple felé. A kutató eredetileg a macOS, illetve a Siri kontaktjavaslatait vizsgálta, illetve az azokat tartalmazó, user-szintű Suggestions könyvtár tartalmát - utóbbiban pedig több adatbázis fájlt (.db) is talált, amelyek egyebek mellett az Apple Mailből és más Apple alkalmazásokból származó információkat tartalmaztak. Az egyik ilyen volt a snippets.db - az ominózus fájlban bukkant rá a szakértő S/MIME titkosítással küldött emailjeinek nyers szövegként tárolt részleteire.
Az adatbázis elviekben a Siri által eltárolt információkat tartalmazza, amelyeket az asszisztens a hatékonyabb javaslatok érdekében gyűjt össze, ugyanakkor a fájl a Siri kikapcsolását követően is jelen volt a fenti könyvtárban - persze a bekapcsolt asszisztens mellett sem lenne indokolt az adatok titkosítatlan tárolása. Gendler a macOS Catalina, Mojave, High Sierra és Sierra kiadásain is belefutott a problémába.
Hello, itt az idei SYSADMINDAY! Szabadtéri helyszínen idén is megrendezzük a hazai Sysadmindayt. Melós hónapok után ez egy jó lehetőség, hogy találkozzunk barátokkal, kollégákkal.
Noha az ügy az értékes adatokat megosztó felhasználókat, akár kormányzati alkalmazottakat kifejezetten érzékenyen érintheti, az Apple láthatóan nem siet a bug orvoslásával. A szakértő ugyanis először július 29-én jelezte a hibát az Apple felé, a vállalat azonban csak múlt héten, november 5-én jelentkezett egy ideiglenes megoldással a problémára. Eszerint a rendszerbeállítások között a Siri opcióiból kell kiválasztani a javaslatokra és adatvédelemre vonatkozó szekciót, ezen belül pedig kifejezetten a Mail esetében kell kikapcsolni a "Learn from this app" funkciót. Ez persze csak az új levelekre érvényes, a korábbi tartalmak továbbra is elérhetők maradnak titkosítatlan formában az említett adatbázis-fájlban.
Rendszerszintű javítás a problémára továbbra sem érkezett, az Apple mindenesetre a The Verge-nek nyilatkozva arról beszél, már dolgozik a vonatkozó patch-en, amelyet egy "jövőbeli szoftverfrissítésben" juttat majd el a felhasználókhoz - hogy ez pontosan mikor várható, arról a cég nem közölt részleteket.