Quando si tratta di crittografia, Apple è un'azienda che da anni sostiene la sicurezza. Ma si scopre che la crittografia con l'app di Stock Mail in macOS potrebbe non essere stata buona come la società spingeva.
The Verge ha pubblicato oggi un rapporto che descrive in dettaglio come Apple gestisce le e-mail crittografate con macOS e, in particolare, l'app Apple Mail di serie. Apparentemente, con le giuste circostanze, è possibile leggere i contenuti di un'e-mail crittografata come se non fosse affatto crittografata. Peggio ancora, sembra che Apple lo sappia da un po 'di tempo e solo ora si sta avvicinando a una soluzione.
Ma prima, togliiamolo di mezzo:
Prima di andare oltre, dovresti sapere che questo probabilmente riguarda solo un piccolo numero di persone. Devi utilizzare macOS, Apple Mail, inviare e-mail crittografate a partire dal Apple Mail, non utilizzare FileVault per crittografare già l'intero sistema e sapere esattamente dove si trovano queste informazioni nei file di sistema di Apple. Se fossi un hacker, avresti bisogno anche di accedere a quei file di sistema.
Il problema è stato segnalato per la prima volta dallo specialista IT focalizzato su Apple Bob Gendler su Medium all'inizio di questa settimana. Secondo Gendler, ha scoperto i file di database macOS che memorizzano informazioni da app come Mail e altre, che vengono quindi utilizzate da Siri per suggerire informazioni migliori all'utente finale. È così ipotetico per funzionare, poiché Siri utilizza tali informazioni per conoscere ciascun utente e offrire suggerimenti basati su tali informazioni.
Tuttavia, Gendler ha trovato un file di database chiamato "snippets.db" che memorizza il testo non crittografato delle e-mail che avrebbero dovuto essere crittografate.
Il grosso problema qui non è solo che macOS sta memorizzando il testo e-mail non crittografato in un file di database, ma che Gendler ha testato l'ultimo quattro le versioni principali del sistema operativo desktop Apple -Sierra, High Sierra, Mojave e Catalina- e hanno scoperto il problema presente in tutti loro.
Gendler afferma di aver segnalato il problema ad Apple il 29 luglio di quest'anno. 99 giorni dopo, il 5 novembre, Apple ha finalmente risposto. E mentre ci sono stati diversi aggiornamenti per i sistemi operativi desktop nel corso degli anni, nessuno di essi ha incluso una patch per questo problema.
Se vuoi impedire che le e-mail vengano raccolte in snippets.db in questo momento, Apple ci dice che puoi farlo andando in Preferenze di Sistema> Siri> Suggerimenti e privacy di Siri> Posta e disattivando "Impara da questa app". Apple ha anche fornito questa soluzione a Gendler - ma dice che questa soluzione si fermerà soltanto nuovo e-mail da aggiungere a snippets.db. Se vuoi assicurarti che le vecchie e-mail che potrebbero essere archiviate in snippets.db non possano più essere scansionate, potresti dover eliminare anche quel file.
Se vuoi evitare che questi frammenti non crittografati vengano potenzialmente letti da altre app, puoi evitare di dare alle app pieno accesso al disco in macOS Catalina, secondo Apple - e probabilmente hai pochissime app con accesso completo al disco. Apple dice anche che l'attivazione di FileVault crittograferà tutto sul tuo Mac, se vuoi essere più sicuro.
Vale la pena ripetere la parte importante all'inizio di questo articolo mentre chiudiamo: questo problema non riguarderà molte persone. Tuttavia, ciò non lo rende meno importante, soprattutto considerando da quanto tempo è presente in macOS.
Apple ha detto The Verge che è in arrivo una correzione per il problema di sicurezza, ma che non ha fornito una data precisa su quando dovremmo aspettarci che il nuovo software corregga il problema.
