Når det gjelder kryptering, er Apple et selskap som har forkjempet sikkerhetsinnsatsen i årevis. Men det viser seg at kryptering med aksjen Mail-appen i macOS kanskje ikke har vært så bra som selskapet presset.
Kanten har en rapport i dag som beskriver Apples håndtering av krypterte e-poster med macOS og nærmere bestemt aksjen Apple Mail-appen. Angivelig, med de rette omstendighetene, er det mulig å lese innholdet i en kryptert e-post som om den ikke var kryptert i det hele tatt. Enda verre det høres ut som Apple kan ha visst om dette i ganske lang tid og først nå kommer seg til rette.
Men først, la oss få dette ut av veien:
Før vi går videre, bør du vite at dette sannsynligvis bare rammer et lite antall mennesker. Du må bruke macOS, Apple Mail, og sende krypterte e-poster fra Apple Mail, bruker ikke FileVault for å kryptere hele systemet allerede, og vet nøyaktig hvor i Apples systemfiler du skal lete etter denne informasjonen. Hvis du var en hacker, ville du også ha tilgang til disse systemfilene.
Problemet ble først notert av Apple-fokuserte IT-spesialist Bob Gendler på Medium tidligere denne uken. I følge Gendler oppdaget han macOS-databasefiler som lagrer informasjon fra apper som Mail og andre, som deretter blir brukt av Siri for å foreslå bedre informasjon til sluttbrukeren. Slik er det ment å jobbe, da Siri bruker denne informasjonen for å lære om hver enkelt bruker og tilby forslag basert på denne informasjonen.
Imidlertid fant Gendler en databasefil kalt “snippets.db” som lagrer den ukrypterte teksten til e-postmeldinger som var ment å være kryptert.
Det store problemet her er ikke bare at macOS lagrer ukryptert e-posttekst i en databasefil, men at Gendler testet den siste fire store versjoner av Apples desktop-operativsystem -Sierra, High Sierra, Mojave og Catalina- og oppdaget problemet som finnes i dem alle.
Gendler sier at han rapporterte saken til Apple 29. juli i år. 99 dager senere, 5. november, svarte Apple endelig. Og selv om det har vært flere oppdateringer for stasjonære operativsystemer i løpet av årene, har ingen av dem inkludert en oppdatering til dette problemet.
Hvis du vil stoppe e-postmeldinger fra snippets.db akkurat nå, forteller Apple oss at du kan gjøre det ved å gå til Systemvalg> Siri> Siri Forslag og personvern> Mail og slå av "Lær fra denne appen." Apple ga også denne løsningen til Gendler - men han sier at denne løsningen bare vil stoppe ny e-postmeldinger fra å bli lagt til snippets.db. Hvis du vil forsikre deg om at eldre e-poster som kan lagres i snippets.db ikke lenger kan skannes, kan det hende du må slette denne filen.
Hvis du vil unngå at disse ukrypterte kodebutene potensielt kan leses av andre apper, kan du unngå å gi apper full diskadgang i macOS Catalina, ifølge Apple - og du har sannsynligvis veldig få apper med full diskadgang. Apple sier også at å slå på FileVault vil kryptere alt på Mac-en, hvis du vil være ekstra trygg.
Det er verdt å gjenta den viktige biten øverst i denne artikkelen når vi avslutter: dette problemet vil ikke berøre mange mennesker. Det gjør det imidlertid ikke mindre viktig, spesielt med tanke på hvor lenge det har vært til stede i macOS.
Apple fortalte Kanten at en løsning for sikkerhetsproblemet er innkommende, men ikke ga en eksakt dato for når vi skulle forvente at ny programvare skal løse problemet.