Mail su macOS mostra in chiaro i messaggi crittografati

Scoperta una nuova falla di sicurezza nell'app Mail di macOS, con Apple che starebbe già lavorando per correggere il problema.

Una vulnerabilità dell’app Mail in macOS lascia in chiaro parte del testo delle e-mail crittografate, come scoperto dallo specialista IT Bob Gandler in queste ore.

Mail crittografia

Secondo Gendler, il file database snippets.db – utilizzato da una funzione di macOS che offre suggerimenti sui contatti –  memorizza le e-mail crittografate in un formato non crittografato, anche quando Siri è disabilitato su Mac.

In vati esempi, Gendler ha dimostrato che la chiave privata non è disponibile in Mail, rendendo il messaggio illeggibile. Tuttavia, continua a essere disponibile nel database.

Gendler ha scoperto il bug il 29 luglio e lo ha prontamente segnalato ad Apple. Nel corso di questi mesi, Apple ha detto che stava esaminando il problema, anche se al momento non è stata rilasciata alcuna correzione. La vulnerabilità continua ad esistere in macOS Catalina e nelle versioni precedenti fino a macOS Sierra.

Questo è un grosso problema per i governi, le aziende e le persone private che utilizzano la posta elettronica crittografata e si aspettano che i contenuti siano protetti. Informazioni segrete o top-secret, inviate in modo criptato, sono esposte tramite questo processo legato al database,, così come segreti commerciali e dati proprietari.

Apple ha detto a The Verge che è consapevole del problema e che lo correggerà in un futuro aggiornamento software. Apple ha anche spiegato che solo alcune parti di testo di alcune e-mail sono memorizzate in chiaro e ha fornito a Gendler le istruzioni su come impedire che i dati vengano memorizzati dal database:

Nella pratica, questo problema riguarda un numero limitato di persone e non è qualcosa per cui gli utenti di macOS dovrebbero generalmente preoccuparsi. Richiede ai clienti di utilizzare macOS e l’app Apple Mail per inviare e-mail crittografate. Non ha un impatto su coloro che hanno FileVault attivato, e una persona che vuole accedere alle informazioni avrebbe anche bisogno di sapere dove si trovano tali informazioni nei file di sistema di Apple e avere accesso fisico a una macchina.

Coloro che sono interessati da questo problema possono impedire la raccolta di dati nel database snippets.db seguendo questi passaggi: vai in Preferenze di Sistema, nella sezione Siri, se seleziona Suggerimenti e privacy di Siri, quindi scegli Mail e disattiva la voce  “Impara da questa app“. In questo modo i nuovi messaggi di posta elettronica non verranno aggiunti a snippets.db ma, ma ricorda che non le email precedenti saranno ancora presenti.

Anche l’attivazione di Firevault protegge queste email crittografate.

Sicurezza