Quando si parla di crittografia, Apple è sicuramente la compagnia che ha investito di più in sicurezza negli ultimi anni. Pare però che l’app Mail di macOS non sarebbe così “sicura” come l’azienda afferma.

The Verge ha pubblicato un articolo che spiega in modo abbastanza dettagliato come Apple lavori con le email criptate con macOS e l’app Mail. Secondo quanto riportato dal blog, in alcune circostanze sarebbe possibile leggere i messaggi crittografati, o almeno il loro contenuto come se non fossero mai state protette. In tutto questo, la cosa peggiore è che Apple sarebbe a conoscenza del problema già da parecchio tempo e che non avrebbe fatto nulla.

Before we go any further, you should know this likely only affects a small number of people. You need to be using macOS, Apple Mail, be sending encrypted emails from Apple Mail, not be using FileVault to encrypt your entire system already, and know exactly where in Apple’s system files to be looking for this information. If you were a hacker, you’d need access to those system files, too.

Il problema sarebbe stato sollevato dall’IT Specialist Bob Gendler su Medium a inizi settimana. Gendler avrebbe scoperto il database di macOS che conserverebbe tutte le informazioni delle apps come Mail e altre che sarebbero poi utilizzate da Siri che invierebbe suggerimenti all’utente finale.

Gendler avrebbe trovato il database chiamato “snippets.db” il quale conserverebbe tutti i messaggi di testo delle email in modo non criptato.

Uno dei problemi sostanziali non sarebbe che macOS conserva i messaggi non criptati nel database, ma secondo i test di Gendler sia Sierra che High Sierra, Mojave e Catalina sono affetti da questa vulnerabilità.

Gendler afferma di aver riportato il problema ad Apple lo scorso 29 Luglio e che esattamente 99 giorni dopo, il 5 Novembre, l’azienda di Cupertino avrebbe risposto. E nonostante ci siano stati diversi aggiornamenti al sistema operativo quest’anno, nessuno di questi avrebbe implementato una patch per questo problema.

If you want to stop emails from being collected in snippets.db right now, Apple tells us you can do so by going to System Preferences > Siri > Siri Suggestions & Privacy > Mail and toggling off “Learn from this App.” Apple also provided this solution to Gendler — but he says this solution will only stop new emails from being added to snippets.db. If you want to make sure older emails that may be stored in snippets.db can no longer be scanned, you may need to delete that file, too.

If you want to avoid these unencrypted snippets potentially being read by other apps, you can avoid giving apps full disk access in macOS Catalina, according to Apple — and you probably have very few apps with full disk access. Apple also says that turning on FileVault will encrypt everything on your Mac, if you want to be extra safe.

Quindi, come riportato qui sopra potete arginare il problema recandovi in Preferenze di Sistema –> Siri –> Suggerimenti di Siri & Privacy e disabilitare le Mail.

E voi, cosa ne pensate? Utilizzate l’app Mail di Apple? Io personalmente da diversi anni sono passato ad AirMail e sono molto più che soddisfatto.

Immagini tratte da 9to5mac

Advertise

TU COSA NE PENSI?