В почтовом клиенте Apple Mail для macOS существует уязвимость, из-за которой текст некоторых зашифрованных писем остается незашифрованным, согласно сообщению ИТ-специалиста Боба Гендлера (через The Verge).

По словам Гендлера, файл базы данных snippets.db, используемый функцией macOS, предлагающей предложения по контактам, хранит зашифрованные электронные письма в незашифрованном формате, даже если Siri отключена на Mac.

Гендлер впервые обнаружил ошибку 29 июля и сообщил о ней Apple. В течение нескольких месяцев Apple заявляла, что изучает проблему, но исправление так и не было выпущено. Уязвимость продолжает существовать в macOS Catalina и более ранних версиях macOS, начиная с macOS Sierra.

Позвольте мне повторить… База данных snippets.db хранит зашифрованные сообщения Apple Mail… полностью, абсолютно, полностью — НЕЗАШИФРОВАННЫМИ — читаемыми, даже при отключенной Siri, без необходимости наличия закрытого ключа. Большинство предположит, что отключение Siri остановит сбор информации о пользователе в macOS. Это серьезная проблема.

Это серьезная проблема для правительств, корпораций и обычных людей, которые используют зашифрованную электронную почту и ожидают, что ее содержимое будет защищено. Секретная или сверхсекретная информация, отправленная в зашифрованном виде, а также коммерческие тайны и проприетарные данные будут раскрыты в результате этого процесса и через эту базу данных.

Apple сообщила The Verge, что ей известно об этой проблеме, и она будет решена в будущем обновлении программного обеспечения. Apple также заявила, что хранятся только фрагменты некоторых электронных писем, и предоставила Гендлеру инструкции по предотвращению сохранения данных в базе данных snippets.

На практике эта проблема затрагивает ограниченное число людей, и пользователям macOS в целом не стоит беспокоиться об этом. Это требует, чтобы клиенты использовали macOS и приложение Apple Mail для отправки зашифрованных электронных писем. Это не затрагивает тех, у кого включен FileVault, и человек, желающий получить доступ к информации, также должен знать, где искать в системных файлах Apple, и иметь физический доступ к устройству.

Тем не менее, как отмечает Гендлер, эта конкретная уязвимость «поднимает вопрос о том, что еще отслеживается и потенциально неправильно хранится без вашего ведома».

Те, кого беспокоит эта проблема, могут предотвратить сбор данных в базе данных snippets.db, открыв «Системные настройки», выбрав раздел «Siri», затем «Предложения Siri и конфиденциальность», выбрав «Почта» и отключив «Учиться на этом приложении». Это остановит добавление новых электронных писем в snippets.db, но не удалит уже добавленные.

Apple сообщила The Verge, что клиенты, желающие предотвратить чтение незашифрованных фрагментов другими приложениями, могут отказаться от предоставления приложениям полного доступа к диску в macOS Catalina. Включение FileVault также зашифрует все на Mac.

Полные сведения об уязвимости можно прочитать в статье Гендлера на Medium.