11月9日消息,據(jù)國外媒體報(bào)道,蘋果聲譽(yù)很大程度上取決于其如何保護(hù)用戶的隱私,其也希望成為用戶唯一信任的科技公司。但是,如果用戶從蘋果郵件應(yīng)用程序發(fā)送加密郵件,目前有一種方法可以從macOS系統(tǒng)中讀取這些郵件中的某些文本,就好像它們沒有加密一樣。據(jù)說,蘋果幾個(gè)月前就知道這個(gè)漏洞,但沒有提供任何修復(fù)。
需要指出的是,這一漏洞只會影響到少部分用戶。只有通過蘋果郵件發(fā)送加密郵件,沒有使用FileVault加密整個(gè)系統(tǒng)的用戶,而且確切知道在蘋果系統(tǒng)文件中查找相關(guān)信息才會發(fā)現(xiàn)到這一漏洞。
蘋果表示,其已經(jīng)意識到了這個(gè)問題,并表示將在未來的軟件更新中解決這個(gè)問題。該公司還表示,服務(wù)器只是存儲了部分電子郵件內(nèi)容。但事實(shí)是,蘋果仍然會以某種方式將部分用戶明確的加密郵件公開,這顯然會造成不好的影響。
專注于研究蘋果的IT專家鮑勃·金德勒(Bob Gendler)周三在一個(gè)媒體博客上分享了這一漏洞。金德勒說,在試圖弄清楚macOS和Siri如何向用戶推薦信息時(shí),他發(fā)現(xiàn)macOS數(shù)據(jù)庫文件存儲了來自用戶電子郵件和其他應(yīng)用程序的信息,然后Siri會利用這些信息向用戶推薦更匹配的信息。這本身并不太令人震驚,蘋果需要參考和學(xué)習(xí)用戶的一些信息,提供更好的Siri建議。
但金德勒發(fā)現(xiàn)了其中一個(gè)名為snippets.db的數(shù)據(jù)庫文件以未加密文本的方式存儲了本應(yīng)加密的用戶電子郵件。
從下圖中可看出,左邊的圓圈中是一封加密的電子郵件,金德勒在刪除私鑰的情況下無法讀取郵件內(nèi)容。但是在右邊的圓圈中,金德勒可以在snippes .db中辨認(rèn)出加密郵件的文本內(nèi)容。
金德勒說他測試了最近發(fā)布的四版macOS系統(tǒng),分別是Catalina, Mojave, High Sierra和Sierra,發(fā)現(xiàn)都可以讀取snippes .db上的加密郵件?,F(xiàn)在,不少用戶都能夠確認(rèn)snippes .db的存在,也發(fā)現(xiàn)其存儲了用戶通過蘋果郵件發(fā)來的部分加密。
金德勒在7月29日第一次向蘋果公司報(bào)告了這個(gè)問題,他說直到11月5日,也就是99天后,公司才給他提供了一個(gè)臨時(shí)的解決方案,期間他們與蘋果公司就這個(gè)問題進(jìn)行了多次對話。盡管蘋果已經(jīng)更新了macOS的四個(gè)版本,其中Gendler在報(bào)告后的幾個(gè)月里仍然能夠發(fā)現(xiàn)這一漏洞,這些更新都沒有包含真正的修復(fù)。
如果用戶想阻止蘋果系統(tǒng)將電子郵件內(nèi)容收集存儲到snippets.db中,蘋果表示可以通過點(diǎn)擊進(jìn)入系統(tǒng)設(shè)置> Siri > Siri建議&隱私>郵件,然后切換 “從這個(gè)程序中學(xué)習(xí)”。金德勒說,蘋果所提供的這種臨時(shí)解決方案只會阻止新郵件被添加到snippets.db中。如果用戶想確保可能存儲在snippes .db中的舊電子郵件內(nèi)容不會再被掃描,你可能需要刪除該文件。
蘋果公司表示,如果用戶想避免這些未加密的片段被其他應(yīng)用程序讀取,可以限制macOS Catalina操作系統(tǒng)為應(yīng)用程序提供完整的磁盤訪問權(quán)限。蘋果還表示,如果你想要更加安全,那么打開加密措施FileVault可以加密Mac上的所有內(nèi)容。
同樣,這種脆弱性可能不會影響那么多用戶。但如果用戶認(rèn)為蘋果郵件內(nèi)容是完全加密的,那就錯了。正如金德勒所說,“它提出了這樣一個(gè)問題:在用戶沒有意識到的情況下,還有哪些內(nèi)容會被跟蹤并可能以不恰當(dāng)?shù)姆绞酱鎯Α?rdquo;(辰辰)