蘋果將修正一個會泄漏加密郵件內容的漏洞

這次是 Siri 的學習機能惹的禍。

蘋果將修正一個會泄漏加密郵件內容的漏洞

雖然說蘋果經常大肆鼓吹 macOS 的安全性,但偶爾發生一點隱私上的漏洞還是難免的。一位名為 Bob Gendler 的安全專家,發現了 macOS 的 Siri 會以「學習」為名,將信件的文字內容存在一個名為 snippets.db 的檔案裡。由於這是獨立在 Mail app 之外,因此並不會受到郵件加密的保護,有心人士就可以從 snippets.db 當中直接獲取你的郵件內容了。這個漏洞至少存在於四個版本的 macOS,由 Sierra 到 Catalina。

不過真有人想要利用這個漏洞的話,也不是那麼容易就是了。首先,你必須要是使用內建的 Mail app,而非第三方的郵件軟體,並且開啟了 Siri 的學習功能,同時 FileVault 的全硬碟加密也必須要是關掉的。在官方的修正出來前,最簡單的解決方法,就是到系統偏好的 Siri 設定中找到隱私權,再把 Mail 的勾勾拿掉,就能避免 Siri 的學習了。

Gendler 表示他在 7 月 29 日就已經回報了漏洞的存在,但蘋果遲至 11 月 5 日才有回應,而且只是確認了問題的存在,修正還不知道要什麼時候才能出爐。這和蘋果向來強調的重視安全的形象,有些不符啊!

來源: Bob Gendler (Medium)

經由: Engadget