Una vulnerabilità dell’app Mail in macOS lascia in chiaro parte del testo delle e-mail crittografate, come scoperto dallo specialista IT Bob Gandler in queste ore.
Secondo Gendler, il file database snippets.db – utilizzato da una funzione di macOS che offre suggerimenti sui contatti – memorizza le e-mail crittografate in un formato non crittografato, anche quando Siri è disabilitato su Mac.
In vati esempi, Gendler ha dimostrato che la chiave privata non è disponibile in Mail, rendendo il messaggio illeggibile. Tuttavia, continua a essere disponibile nel database.
Gendler ha scoperto il bug il 29 luglio e lo ha prontamente segnalato ad Apple. Nel corso di questi mesi, Apple ha detto che stava esaminando il problema, anche se al momento non è stata rilasciata alcuna correzione. La vulnerabilità continua ad esistere in macOS Catalina e nelle versioni precedenti fino a macOS Sierra.
Questo è un grosso problema per i governi, le aziende e le persone private che utilizzano la posta elettronica crittografata e si aspettano che i contenuti siano protetti. Informazioni segrete o top-secret, inviate in modo criptato, sono esposte tramite questo processo legato al database,, così come segreti commerciali e dati proprietari.
Apple ha detto a The Verge che è consapevole del problema e che lo correggerà in un futuro aggiornamento software. Apple ha anche spiegato che solo alcune parti di testo di alcune e-mail sono memorizzate in chiaro e ha fornito a Gendler le istruzioni su come impedire che i dati vengano memorizzati dal database:
Nella pratica, questo problema riguarda un numero limitato di persone e non è qualcosa per cui gli utenti di macOS dovrebbero generalmente preoccuparsi. Richiede ai clienti di utilizzare macOS e l’app Apple Mail per inviare e-mail crittografate. Non ha un impatto su coloro che hanno FileVault attivato, e una persona che vuole accedere alle informazioni avrebbe anche bisogno di sapere dove si trovano tali informazioni nei file di sistema di Apple e avere accesso fisico a una macchina.
Coloro che sono interessati da questo problema possono impedire la raccolta di dati nel database snippets.db seguendo questi passaggi: vai in Preferenze di Sistema, nella sezione Siri, se seleziona Suggerimenti e privacy di Siri, quindi scegli Mail e disattiva la voce “Impara da questa app“. In questo modo i nuovi messaggi di posta elettronica non verranno aggiunti a snippets.db ma, ma ricorda che non le email precedenti saranno ancora presenti.
Anche l’attivazione di Firevault protegge queste email crittografate.