Als het gaat om codering, is Apple een bedrijf dat al jaren voorstander is van de beveiligingsinspanning. Maar het blijkt dat codering met de stock Mail-app in macOS misschien niet zo goed was als het bedrijf pushte.
De rand heeft vandaag een rapport gepubliceerd met informatie over de manier waarop Apple omgaat met gecodeerde e-mails met macOS en met name de standaard Apple Mail-app. Blijkbaar is het onder de juiste omstandigheden mogelijk om de inhoud van een gecodeerde e-mail te lezen alsof deze helemaal niet is gecodeerd. Erger nog, het lijkt erop dat Apple hier al geruime tijd van op de hoogte is en nu pas aan een oplossing komt.
Maar laten we dit eerst uit de weg ruimen:
Voordat we verder gaan, moet u weten dat dit waarschijnlijk slechts een klein aantal mensen treft. U moet macOS, Apple Mail gebruiken, gecodeerde e-mails verzenden van Apple Mail, gebruikt FileVault niet al om uw hele systeem te coderen en weet precies waar in de systeembestanden van Apple naar deze informatie moet worden gezocht. Als u een hacker was, had u ook toegang tot die systeembestanden nodig.
Het probleem werd eerder deze week voor het eerst opgemerkt door Apple-gerichte IT-specialist Bob Gendler op Medium. Volgens Gendler ontdekte hij macOS-databasebestanden die informatie opslaan van apps zoals Mail en anderen, die vervolgens door Siri worden gebruikt om betere informatie aan de eindgebruiker voor te stellen. Dat is hoe het is vermeend om te werken, aangezien Siri die informatie gebruikt om meer te weten te komen over elke gebruiker en suggesties te doen op basis van die informatie.
Gendler vond echter een databasebestand genaamd "snippets.db" dat de niet-gecodeerde tekst van e-mails opslaat die bedoeld waren om te worden gecodeerd.
Het grote probleem hier is niet alleen dat macOS niet-gecodeerde e-mailtekst in een databasebestand opslaat, maar dat Gendler de laatste testte vier hoofdversies van Apple's desktopbesturingssysteem -Sierra, High Sierra, Mojave en Catalina- en ontdekten het probleem dat in alle versies aanwezig was.
Gendler zegt dat hij het probleem op 29 juli van dit jaar aan Apple heeft gemeld. 99 dagen later, op 5 november, reageerde Apple eindelijk. En hoewel er in de loop der jaren verschillende updates voor de desktopbesturingssystemen zijn geweest, bevat geen van deze een patch voor dit probleem.
Als u wilt voorkomen dat e-mails op dit moment worden verzameld in snippets.db, vertelt Apple ons dat u dit kunt doen door naar Systeemvoorkeuren> Siri> Siri Suggesties & Privacy> E-mail te gaan en "Leren van deze app" uit te schakelen. deze oplossing voor Gendler - maar hij zegt dat deze oplossing alleen zal stoppen nieuw e-mails worden toegevoegd aan snippets.db. Als u ervoor wilt zorgen dat oudere e-mails die mogelijk zijn opgeslagen in snippets.db niet langer kunnen worden gescand, moet u dat bestand mogelijk ook verwijderen.
Als je wilt voorkomen dat deze niet-gecodeerde fragmenten mogelijk door andere apps worden gelezen, kun je volgens Apple geen volledige schijftoegang geven in macOS Catalina - en je hebt waarschijnlijk maar heel weinig apps met volledige schijftoegang. Apple zegt ook dat het inschakelen van FileVault alles op je Mac zal coderen, als je extra veilig wilt zijn.
Het is de moeite waard om het belangrijke deel bovenaan dit artikel te herhalen als we afsluiten: dit probleem zal niet veel mensen treffen. Dat maakt het echter niet minder belangrijk, vooral gezien hoe lang het al in macOS aanwezig is.
Vertelde Apple De rand dat er een oplossing voor het beveiligingsprobleem binnenkomt, maar geen exacte datum gaf waarop we konden verwachten dat nieuwe software het probleem zou repareren.
