Apple Mail示意圖,圖片來源/蘋果

研究人員發現數個版本的Mac版Apple Mail存在漏洞,導致加密郵件被以明碼儲存,可能導致重要資訊外洩,影響部分用戶。蘋果似乎至少3個月前就知道了,但上周才表示會儘速更新軟體以修補漏洞。

蘋果IT專家Bob Gendler 7月間發現這項漏洞。簡單的說,Siri以suggestd的行程蒐集了Apple Mail信件,並將其儲存在snippets.db檔案中,這導致Apple Mail信件內容可被讀取,根本無需破解加密。他在7月29日通報了蘋果,不過蘋果至今尚未修補。上周蘋果對TheVerge承諾將釋出軟體修補該漏洞。

研究人員當時正在研究macOS和Siri如何產生對用戶的建議。他發現MacOS系統層LaunchAgent執行了suggestd行程,以及資源庫(Library)資料夾下有個Suggests資料夾,內有多個檔案,其中數個資料庫檔案是來自Apple Mail及其他Apple應用程式相關的資訊,這些資料庫都是作為Siri回應用戶查詢,例如查詢聯絡人之用。其中名為snippets.db的資料庫檔案內容,竟是Apple Mail S/MIME加密信件,但是是未加密版本。

本漏洞影響包含Sierra、High Sierra、Mojave和最新的Catalina等macOS版。不過蘋果說,影響的用戶只有一小部份,因為資料外洩還需滿足幾個條件,包括用戶必須使用Apple Mail傳送加密信件,且未啟用FileVault來加密整台電腦。而想偷看信的人也必須具有macOS存取權限,且知道信件是存在哪個檔案中。

但是如果上述條件滿足了,就會造成資料外洩。研究人員指出,這事對政府、企業及使用郵件加密來確保內容安全的一般人來說,都非同小可。商業機密、私有資料等機密資訊,都會因此行程和資料庫曝光。

研究人員還發現,即使關閉Siri,MacOS的這個過程仍然會持續。此外,刪除snippets.db檔也只能防止未來資料被蒐集,但無法移除已被蒐集的郵件;一定要關閉suggestd行程執行。

此外,同一個行程也會將用戶聯絡人姓名、電子郵件、電話號碼儲存在entities.db中。而即使聯絡人名單不包含電話號碼,但簽章及轉寄資訊等郵件資訊,也會被儲存,也可能被外人輕鬆存取。

在蘋果修補好漏洞前,研究人員建議有三個防堵方法:一是到「系統偏好」、「Siri」、「Siri建議與隱私設定」中取消勾選Mail。第二,非系統管理員的使用者需跑終端機(Terminal)程式,執行defaults write com.apple.suggestions SiriCanLearnFromAppBlacklist -array com.apple.mail指令,來強制關閉Siri蒐集Apple Mail。第三是設定系統層(對所有用戶有效的)設定檔來關閉這項動作。只有第三個方法,才能永久關閉macOS和Siri蒐集所有用戶的Apple Mail資訊。


Advertisement

更多 iThome相關內容