有漏洞！蘋果郵件加密不完全 部分內(nèi)容仍被存儲在系統(tǒng)文件

11月9日消息，據(jù)國外媒體報(bào)道，蘋果聲譽(yù)很大程度上取決于其如何保護(hù)用戶的隱私，其也希望成為用戶唯一信任的科技公司。但是，如果用戶從蘋果郵件應(yīng)用程序發(fā)送加密郵件，目前有一種方法可以從macOS系統(tǒng)中讀取這些郵件中的某些文本，就好像它們沒有加密一樣。據(jù)說，蘋果幾個(gè)月前就知道這個(gè)漏洞，但沒有提供任何修復(fù)。

需要指出的是，這一漏洞只會影響到少部分用戶。只有通過蘋果郵件發(fā)送加密郵件，沒有使用FileVault加密整個(gè)系統(tǒng)的用戶，而且確切知道在蘋果系統(tǒng)文件中查找相關(guān)信息才會發(fā)現(xiàn)到這一漏洞。

蘋果表示，其已經(jīng)意識到了這個(gè)問題，并表示將在未來的軟件更新中解決這個(gè)問題。該公司還表示，服務(wù)器只是存儲了部分電子郵件內(nèi)容。但事實(shí)是，蘋果仍然會以某種方式將部分用戶明確的加密郵件公開，這顯然會造成不好的影響。

專注于研究蘋果的IT專家鮑勃·金德勒(Bob Gendler)周三在一個(gè)媒體博客上分享了這一漏洞。金德勒說，在試圖弄清楚macOS和Siri如何向用戶推薦信息時(shí)，他發(fā)現(xiàn)macOS數(shù)據(jù)庫文件存儲了來自用戶電子郵件和其他應(yīng)用程序的信息，然后Siri會利用這些信息向用戶推薦更匹配的信息。這本身并不太令人震驚，蘋果需要參考和學(xué)習(xí)用戶的一些信息，提供更好的Siri建議。

但金德勒發(fā)現(xiàn)了其中一個(gè)名為snippets.db的數(shù)據(jù)庫文件以未加密文本的方式存儲了本應(yīng)加密的用戶電子郵件。

從下圖中可看出，左邊的圓圈中是一封加密的電子郵件，金德勒在刪除私鑰的情況下無法讀取郵件內(nèi)容。但是在右邊的圓圈中，金德勒可以在snippes .db中辨認(rèn)出加密郵件的文本內(nèi)容。

金德勒說他測試了最近發(fā)布的四版macOS系統(tǒng)，分別是Catalina, Mojave, High Sierra和Sierra，發(fā)現(xiàn)都可以讀取snippes .db上的加密郵件?，F(xiàn)在，不少用戶都能夠確認(rèn)snippes .db的存在，也發(fā)現(xiàn)其存儲了用戶通過蘋果郵件發(fā)來的部分加密。

金德勒在7月29日第一次向蘋果公司報(bào)告了這個(gè)問題，他說直到11月5日，也就是99天后，公司才給他提供了一個(gè)臨時(shí)的解決方案，期間他們與蘋果公司就這個(gè)問題進(jìn)行了多次對話。盡管蘋果已經(jīng)更新了macOS的四個(gè)版本，其中Gendler在報(bào)告后的幾個(gè)月里仍然能夠發(fā)現(xiàn)這一漏洞，這些更新都沒有包含真正的修復(fù)。

如果用戶想阻止蘋果系統(tǒng)將電子郵件內(nèi)容收集存儲到snippets.db中，蘋果表示可以通過點(diǎn)擊進(jìn)入系統(tǒng)設(shè)置> Siri > Siri建議&隱私>郵件，然后切換 “從這個(gè)程序中學(xué)習(xí)”。金德勒說，蘋果所提供的這種臨時(shí)解決方案只會阻止新郵件被添加到snippets.db中。如果用戶想確?？赡艽鎯υ趕nippes .db中的舊電子郵件內(nèi)容不會再被掃描，你可能需要刪除該文件。

蘋果公司表示，如果用戶想避免這些未加密的片段被其他應(yīng)用程序讀取，可以限制macOS Catalina操作系統(tǒng)為應(yīng)用程序提供完整的磁盤訪問權(quán)限。蘋果還表示，如果你想要更加安全，那么打開加密措施FileVault可以加密Mac上的所有內(nèi)容。

同樣，這種脆弱性可能不會影響那么多用戶。但如果用戶認(rèn)為蘋果郵件內(nèi)容是完全加密的，那就錯(cuò)了。正如金德勒所說，“它提出了這樣一個(gè)問題:在用戶沒有意識到的情況下，還有哪些內(nèi)容會被跟蹤并可能以不恰當(dāng)?shù)姆绞酱鎯Α?rdquo;(辰辰)