När det gäller kryptering är Apple ett företag som har förespråkat säkerhetsarbetet i flera år. Men det visar sig att kryptering med aktien Mail-appen i macOS kanske inte har varit lika bra som företaget pressade på.
Gränsen har en rapport ut idag som beskriver Apples hantering av krypterade e-postmeddelanden med macOS och specifikt Apple Apple-appen. Uppenbarligen är det med rätt omständigheter möjligt att läsa ett krypterat e-postinnehåll som om det inte var krypterat alls. Värre, det låter som att Apple kan ha känt till det här ganska länge och är nu bara på väg att fixa.
Men först, låt oss få detta ur vägen:
Innan vi går längre, bör du veta att detta troligtvis bara påverkar ett litet antal människor. Du måste använda macOS, Apple Mail, skicka krypterade e-postmeddelanden från Apple Mail, använder inte FileVault för att redan kryptera hela systemet och vet exakt var i Apples systemfiler du letar efter den här informationen. Om du var en hacker skulle du också behöva tillgång till systemfilerna.
Frågan noterades först av Apple-fokuserade IT-specialist Bob Gendler på Medium tidigare denna vecka. Enligt Gendler upptäckte han macOS-databasfiler som lagrar information från appar som Mail och andra, som sedan används av Siri för att föreslå bättre information till slutanvändaren. Så är det förment att arbeta, eftersom Siri använder den informationen för att lära sig om varje användare och erbjuder förslag baserade på den informationen.
Gendler fann dock en databasfil som heter "snippets.db" som lagrar den okrypterade texten för e-postmeddelanden som var tänkta att krypteras.
Den stora frågan här är inte bara att macOS lagrar okrypterad e-posttext i en databasfil, utan att Gendler testade den senaste fyra stora versioner av Apples desktop-operativsystem -Sierra, High Sierra, Mojave och Catalina- och upptäckte problemet som finns i dem alla.
Gendler säger att han rapporterade frågan till Apple den 29 juli i år. 99 dagar senare, den 5 november, svarade Apple äntligen. Och även om det har gjorts flera uppdateringar för operativsystemet för stationära datorer under åren, har ingen av dem inkluderat en korrigering av det här problemet.
Om du vill stoppa e-postmeddelanden från att samlas in i snippets.db just nu berättar Apple att du kan göra det genom att gå till Systeminställningar> Siri> Siri-förslag & sekretess> Mail och slå av "Lär dig från den här appen." Apple tillhandahöll också denna lösning till Gendler - men han säger att denna lösning bara kommer att stoppa ny e-postmeddelanden från att läggas till snippets.db. Om du vill se till att äldre e-postmeddelanden som kan lagras i snippets.db inte längre kan skannas, kan du behöva ta bort den filen också.
Om du vill undvika att dessa okrypterade utdrag som eventuellt kan läsas av andra appar kan du undvika att ge appar fullständig diskåtkomst i macOS Catalina, enligt Apple - och du har förmodligen väldigt få appar med full diskåtkomst. Apple säger också att om du aktiverar FileVault krypteras allt på din Mac om du vill vara extra säker.
Det är värt att upprepa den viktiga biten högst upp i denna artikel när vi stänger: det här problemet kommer inte att påverka många människor. Men det gör det inte mindre viktigt, särskilt med tanke på hur länge det har funnits i macOS.
Apple berättade Gränsen att en lösning för säkerhetsproblemet är inkommande, men gav inte ett exakt datum för när vi borde förvänta oss att ny programvara korrigerar problemet.
