In de macOS-versie van de Apple Mail app zit een kwetsbaarheid die een deel van de tekst van versleutelde e-mails onversleuteld laat, aldus een rapport van IT-specialist Bob Gendler (via The Verge).
Volgens Gendler slaat het database-bestand snippets.db, dat wordt gebruikt door een macOS-functie met contactsuggesties, gecodeerde e-mails op in een onversleuteld formaat, zelfs wanneer Siri op de Mac is uitgeschakeld.
In deze e-mail demonstreert Gendler dat de private key niet beschikbaar is gemaakt in Mail, waardoor het bericht onleesbaar wordt. Het blijft echter beschikbaar in de database.
Gendler ontdekte de bug voor het eerst op 29 juli en meldde het aan Apple. In de loop van enkele maanden zei Apple dat het de kwestie aan het onderzoeken was, maar dat er nooit een oplossing kwam. De kwetsbaarheid blijft bestaan in macOS Catalina en eerdere versies van macOS die teruggaan tot macOS Sierra.
Laat ik dat nog eens zeggen…. De snippets.db database slaat versleutelde Apple Mail berichten op….volledig, volledig, volledig, volledig — UNENCRYPTED — leesbaar, zelfs met Siri uitgeschakeld, zonder dat de private key nodig is. De meesten zouden aannemen dat het uitschakelen van Siri zou stoppen met het verzamelen van informatie over de gebruiker door macOS. Dit is een groot probleem.
Dit is een groot probleem voor overheden, bedrijven en gewone mensen die versleutelde e-mail gebruiken en verwachten dat de inhoud beschermd is. Geheime of topgeheime informatie, die versleuteld werd verzonden, zou via dit proces en deze database worden onthuld, evenals bedrijfsgeheimen en eigen gegevens.
Apple vertelde The Verge dat het zich bewust is geworden van het probleem en het in een toekomstige software-update aan de orde zal stellen. Apple zei ook dat slechts gedeelten van sommige e-mails worden opgeslagen, en verstrekte Gendler instructies om te voorkomen dat gegevens worden opgeslagen door de snippets database.
Deze kwestie beïnvloedt een beperkt aantal mensen in de praktijk, en is niet iets dat macOS-gebruikers zich in het algemeen zorgen moet maken over deze kwestie. Het vereist dat klanten macOS en de Apple Mail-app gebruiken om versleutelde e-mails te verzenden. Het heeft geen invloed op degenen die FileVault hebben ingeschakeld, en een persoon die toegang wilde tot de informatie zou ook moeten weten waar in de systeembestanden van Apple te kijken en fysieke toegang tot een machine hebben.
Toch roept deze bijzondere kwetsbaarheid, zoals Gendler aangeeft, “de vraag op wat er nog meer wordt gevolgd en mogelijk verkeerd wordt opgeslagen zonder dat je het beseft”.
Wie zich zorgen maakt over dit probleem kan voorkomen dat er gegevens worden verzameld in de snippets.db-database door de systeemvoorkeuren te openen, de Siri-sectie te kiezen, Siri Suggestions & Privacy te selecteren, Mail te kiezen en vervolgens “Learn from this App” uit te schakelen. Hierdoor wordt voorkomen dat er nieuwe e-mails aan snippets.db worden toegevoegd, maar worden de reeds opgenomen e-mails niet verwijderd.
Apple vertelde The Verge dat klanten die willen voorkomen dat niet-versleutelde fragmenten door andere apps worden gelezen, kunnen voorkomen dat apps volledige schijftoegang krijgen in macOS Catalina. Door FileVault aan te zetten, wordt ook alles op de Mac versleuteld.
Alle details over de kwetsbaarheid zijn te lezen in Gendler’s Medium artikel.