Nyers szövegként tesz elérhetővé titkosított emaileket egy macOS bug
Az Apple július óta tud a hibáról, de javítás még nem érkezett, a cég csak ideiglenes megoldást javasolt a problémára.
Titkosítási hibát foltoz asztali email kliensében az Apple - a cég ugyanakkor nem sieti el a javítást, a problémáról ugyanis már legalább július óta tud. A szóban forgó bug lehetővé teszi, hogy az Apple Mailben elküldött, titkosított emailek egyes részei egyszerű szövegként olvashatók legyenek, mint ha hagyományos, titkosítatlan levelezésbe néznének bele. A probléma azokat a macOS-es Apple Mail felhasználóit érinti, közülük is azokat, akik a titkosított leveleket a kliens felületéről küldik el, és nem használják a macOS titkosítási megoldását, azaz a FileVaultot a teljes rendszer titkosítására.
A hibát Bob Gendler biztonsági szakértő fedezte fel, és jelezte az Apple felé. A kutató eredetileg a macOS, illetve a Siri kontaktjavaslatait vizsgálta, illetve az azokat tartalmazó, user-szintű Suggestions könyvtár tartalmát - utóbbiban pedig több adatbázis fájlt (.db) is talált, amelyek egyebek mellett az Apple Mailből és más Apple alkalmazásokból származó információkat tartalmaztak. Az egyik ilyen volt a snippets.db - az ominózus fájlban bukkant rá a szakértő S/MIME titkosítással küldött emailjeinek nyers szövegként tárolt részleteire.
Az adatbázis elviekben a Siri által eltárolt információkat tartalmazza, amelyeket az asszisztens a hatékonyabb javaslatok érdekében gyűjt össze, ugyanakkor a fájl a Siri kikapcsolását követően is jelen volt a fenti könyvtárban - persze a bekapcsolt asszisztens mellett sem lenne indokolt az adatok titkosítatlan tárolása. Gendler a macOS Catalina, Mojave, High Sierra és Sierra kiadásain is belefutott a problémába.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
Noha az ügy az értékes adatokat megosztó felhasználókat, akár kormányzati alkalmazottakat kifejezetten érzékenyen érintheti, az Apple láthatóan nem siet a bug orvoslásával. A szakértő ugyanis először július 29-én jelezte a hibát az Apple felé, a vállalat azonban csak múlt héten, november 5-én jelentkezett egy ideiglenes megoldással a problémára. Eszerint a rendszerbeállítások között a Siri opcióiból kell kiválasztani a javaslatokra és adatvédelemre vonatkozó szekciót, ezen belül pedig kifejezetten a Mail esetében kell kikapcsolni a "Learn from this app" funkciót. Ez persze csak az új levelekre érvényes, a korábbi tartalmak továbbra is elérhetők maradnak titkosítatlan formában az említett adatbázis-fájlban.
Rendszerszintű javítás a problémára továbbra sem érkezett, az Apple mindenesetre a The Verge-nek nyilatkozva arról beszél, már dolgozik a vonatkozó patch-en, amelyet egy "jövőbeli szoftverfrissítésben" juttat majd el a felhasználókhoz - hogy ez pontosan mikor várható, arról a cég nem közölt részleteket.