您的位置:首頁(yè) >區(qū)域 >

有漏洞!蘋果郵件加密不完全 部分內(nèi)容仍被存儲(chǔ)在系統(tǒng)文件

2019-11-11 09:10:33 來(lái)源:網(wǎng)易科技報(bào)道

11月9日消息,據(jù)國(guó)外媒體報(bào)道,蘋果聲譽(yù)很大程度上取決于其如何保護(hù)用戶的隱私,其也希望成為用戶唯一信任的科技公司。但是,如果用戶從蘋果郵件應(yīng)用程序發(fā)送加密郵件,目前有一種方法可以從macOS系統(tǒng)中讀取這些郵件中的某些文本,就好像它們沒(méi)有加密一樣。據(jù)說(shuō),蘋果幾個(gè)月前就知道這個(gè)漏洞,但沒(méi)有提供任何修復(fù)。

需要指出的是,這一漏洞只會(huì)影響到少部分用戶。只有通過(guò)蘋果郵件發(fā)送加密郵件,沒(méi)有使用FileVault加密整個(gè)系統(tǒng)的用戶,而且確切知道在蘋果系統(tǒng)文件中查找相關(guān)信息才會(huì)發(fā)現(xiàn)到這一漏洞。

蘋果表示,其已經(jīng)意識(shí)到了這個(gè)問(wèn)題,并表示將在未來(lái)的軟件更新中解決這個(gè)問(wèn)題。該公司還表示,服務(wù)器只是存儲(chǔ)了部分電子郵件內(nèi)容。但事實(shí)是,蘋果仍然會(huì)以某種方式將部分用戶明確的加密郵件公開,這顯然會(huì)造成不好的影響。

專注于研究蘋果的IT專家鮑勃·金德勒(Bob Gendler)周三在一個(gè)媒體博客上分享了這一漏洞。金德勒說(shuō),在試圖弄清楚macOS和Siri如何向用戶推薦信息時(shí),他發(fā)現(xiàn)macOS數(shù)據(jù)庫(kù)文件存儲(chǔ)了來(lái)自用戶電子郵件和其他應(yīng)用程序的信息,然后Siri會(huì)利用這些信息向用戶推薦更匹配的信息。這本身并不太令人震驚,蘋果需要參考和學(xué)習(xí)用戶的一些信息,提供更好的Siri建議。

但金德勒發(fā)現(xiàn)了其中一個(gè)名為snippets.db的數(shù)據(jù)庫(kù)文件以未加密文本的方式存儲(chǔ)了本應(yīng)加密的用戶電子郵件。

從下圖中可看出,左邊的圓圈中是一封加密的電子郵件,金德勒在刪除私鑰的情況下無(wú)法讀取郵件內(nèi)容。但是在右邊的圓圈中,金德勒可以在snippes .db中辨認(rèn)出加密郵件的文本內(nèi)容。

金德勒說(shuō)他測(cè)試了最近發(fā)布的四版macOS系統(tǒng),分別是Catalina, Mojave, High Sierra和Sierra,發(fā)現(xiàn)都可以讀取snippes .db上的加密郵件?,F(xiàn)在,不少用戶都能夠確認(rèn)snippes .db的存在,也發(fā)現(xiàn)其存儲(chǔ)了用戶通過(guò)蘋果郵件發(fā)來(lái)的部分加密。

金德勒在7月29日第一次向蘋果公司報(bào)告了這個(gè)問(wèn)題,他說(shuō)直到11月5日,也就是99天后,公司才給他提供了一個(gè)臨時(shí)的解決方案,期間他們與蘋果公司就這個(gè)問(wèn)題進(jìn)行了多次對(duì)話。盡管蘋果已經(jīng)更新了macOS的四個(gè)版本,其中Gendler在報(bào)告后的幾個(gè)月里仍然能夠發(fā)現(xiàn)這一漏洞,這些更新都沒(méi)有包含真正的修復(fù)。

如果用戶想阻止蘋果系統(tǒng)將電子郵件內(nèi)容收集存儲(chǔ)到snippets.db中,蘋果表示可以通過(guò)點(diǎn)擊進(jìn)入系統(tǒng)設(shè)置> Siri > Siri建議&隱私>郵件,然后切換 “從這個(gè)程序中學(xué)習(xí)”。金德勒說(shuō),蘋果所提供的這種臨時(shí)解決方案只會(huì)阻止新郵件被添加到snippets.db中。如果用戶想確??赡艽鎯?chǔ)在snippes .db中的舊電子郵件內(nèi)容不會(huì)再被掃描,你可能需要?jiǎng)h除該文件。

蘋果公司表示,如果用戶想避免這些未加密的片段被其他應(yīng)用程序讀取,可以限制macOS Catalina操作系統(tǒng)為應(yīng)用程序提供完整的磁盤訪問(wèn)權(quán)限。蘋果還表示,如果你想要更加安全,那么打開加密措施FileVault可以加密Mac上的所有內(nèi)容。

同樣,這種脆弱性可能不會(huì)影響那么多用戶。但如果用戶認(rèn)為蘋果郵件內(nèi)容是完全加密的,那就錯(cuò)了。正如金德勒所說(shuō),“它提出了這樣一個(gè)問(wèn)題:在用戶沒(méi)有意識(shí)到的情況下,還有哪些內(nèi)容會(huì)被跟蹤并可能以不恰當(dāng)?shù)姆绞酱鎯?chǔ)。”(辰辰)