Apple risolve la vulnerabilità della posta elettronica in macOS che lascia leggibile il testo di alcune e-mail crittografate

C’è una vulnerabilità nella versione macOS dell’app Apple Mail che lascia in parte il testo delle e-mail crittografate, secondo un rapporto dello specialista IT Bob Gendler (tramite The Verge ). 

Secondo Gendler, il file di database snippets.db utilizzato da una funzione macOS che offre suggerimenti di contatto archivia le e-mail crittografate in un formato non crittografato, anche quando Siri è disabilitato sul Mac. 




Gendler scoprì inizialmente il bug il 29 luglio e lo segnalò ad Apple. Nel corso di diversi mesi, Apple ha dichiarato che stava esaminando il problema, anche se non è mai arrivata alcuna correzione. La vulnerabilità continua ad esistere in macOS Catalina e nelle versioni precedenti di macOS risalenti a macOS Sierra.Consentitemi di ripeterlo … Il database snippets.db memorizza i messaggi crittografati di Apple Mail … completamente, totalmente, completamente – UNENCRYPTED – leggibile, anche con ‌Siri‌ disabilitato, senza richiedere la chiave privata. La maggior parte presumerebbe che la disabilitazione di “Siri” impedisse a macOS di raccogliere informazioni sull’utente. Questo è un grosso problema. 

Questo è un grosso problema per i governi, le società e le persone normali che usano la posta elettronica crittografata e si aspettano che i contenuti siano protetti. Le informazioni segrete o top-secret, che sono state inviate crittografate, verrebbero esposte tramite questo processo e database, così come i segreti commerciali e i dati proprietari.
Apple ha dichiarato a The Verge di essere stato informato del problema e lo affronterà in un futuro aggiornamento del software. Apple ha anche affermato che sono archiviate solo alcune parti di alcune e-mail e ha fornito a Gendler le istruzioni per impedire che i dati vengano archiviati dal database dei frammenti. 

Questo problema riguarda in pratica un numero limitato di persone e non è qualcosa di cui gli utenti macOS dovrebbero generalmente preoccuparsi. Richiede ai clienti di utilizzare macOS e l’app Apple Mail per inviare e-mail crittografate.Non influisce su coloro che hanno attivato FileVault e una persona che voleva accedere alle informazioni avrebbe anche bisogno di sapere dove cercare i file di sistema di Apple e avere accesso fisico a una macchina. 

Tuttavia, come sottolinea Gendler, questa particolare vulnerabilità “solleva la questione di cos’altro viene tracciato e potenzialmente conservato in modo improprio senza che te ne accorga”. 

Chi è preoccupato per questo problema può impedire che i dati vengano raccolti nel database snippets.db aprendo Preferenze di Sistema, selezionando la sezione ‌Siri‌, selezionando ‌Siri‌ Suggerimenti e privacy, scegliendo Mail e quindi disattivando “Impara da questa app”. Ciò impedirà l’aggiunta di nuove e-mail a snippets.db ma non rimuoverà quelle che sono già state incluse. 

Apple ha dichiarato a The Verge che i clienti che desiderano evitare la lettura di frammenti non crittografati da altre app possono evitare di fornire alle app l’accesso completo al disco in “MacOS Catalina”. L’attivazione di FileVault crittograferà anche tutto sul Mac. 

Lascia un commento