Jeżeli dbasz o swoją prywatność w sieci i korzystasz z aplikacji Mail na macOS – nie byłeś w pełni bezpieczny. Apple miało sporą lukę w zabezpieczeniach, związaną z szyfrowaniem wiadomości e-mail.
W trakcie wielu dyskusji o cyberbezpieczeństwie, bardzo często pada słowo Apple. Nic dziwnego, w końcu sama firma co chwilę powtarza, że prywatność czy też bezpieczeństwo użytkowników produktów z nadgryzionym jabłkiem jest ich priorytetem. Niestety, okazało się, że nie jest to do końca zgodne z prawdą. Przynajmniej w wypadku aplikacji Mail.
Bob Gendler na swoim profilu na portalu Medium opublikował artykuł, w którym pokazuje, w jaki sposób działa szyfrowanie e-maili na macOS.
Problem dotyczy czterech wersji systemu od Apple – macOS Catalina, Mojave, High Sierra i Sierra. Baza danych, która znajduje się w naszym systemie, ma zapisane wszelkie dane z aplikacji Mail. Asystent głosowy Siri, korzysta właśnie z tego pakietu danych, a jeden z plików snippets.db, zawiera nasze e-maile w formacie tekstowym, który nie jest w żaden sposób zaszyfrowany.
Co więcej, problem został zgłoszony 29 lipca. W międzyczasie Apple nie zaoferowało żadnego, choćby czasowego rozwiązania tego problemu. Odpowiedź pojawiła się dopiero 5 listopada, więc minęło prawie 100 dni, zanim podjęto się próby naprawy tego błędu.
Kto powinien przejmować się tym problemem? Na pewno ktoś, kto nie ma włączonego FileVaulta. Upewnijcie się, że szyfrowanie Waszego Maca z poziomu tej funkcji jest aktywne.
Jeżeli Wasze zaufanie do bezpieczeństwa systemu spod szyldu Apple zmalało, warto zadbać o odcięcie Siri od dostępu do naszej poczty. Jak to zrobić:
Preferencje Systemowe (System Preferences) -> Siri -> Sugestie Siri i prywatność (Siri Suggestions & Privacy) -> Mail
W ostatnim punkcie, po prostu odznaczamy ustawienie „Ucz się od tej aplikacji”. Możemy to zrobić oczywiście w przypadku pozostałych programów.
Warto zaznaczyć, że to rozwiązanie zadziała jedynie na nowe nadchodzące wiadomości. Jeżeli chcemy upewnić się, że starsze e-maile, które były niezaszyfrowane, nie stanowią dla nas już zagrożenia prywatności, należy usunąć wcześniej wspomniany plik snippets.db.