9 November 2019 | 1:49 am

Bob Gendler (thông qua The Verge ).

Theo Gendler, tệp cơ sở dữ liệu snippets.db được sử dụng bởi chức năng macOS cung cấp các đề xuất liên hệ lưu trữ email được mã hóa ở định dạng không được mã hóa, ngay cả khi Siri bị vô hiệu hóa trên máy Mac.

Trong email này, Gendler chứng minh rằng khóa riêng đã không có sẵn trong Mail, khiến tin nhắn không thể đọc được. Tuy nhiên, nó vẫn tiếp tục có sẵn trong cơ sở dữ liệu.


Gendler ban đầu phát hiện ra lỗi vào ngày 29 tháng 7 và báo cáo với Apple. Trong vài tháng, Apple nói rằng họ đang xem xét vấn đề, mặc dù chưa có sửa chữa nào xảy ra. Lỗ hổng tiếp tục tồn tại trong macOS Catalina và các phiên bản macOS trước đó có niên đại từ macOS Sierra.

Hãy để tôi nói điều đó một lần nữa … Cơ sở dữ liệu snippets.db đang lưu trữ các tin nhắn Apple Mail được mã hóa … hoàn toàn, hoàn toàn, đầy đủ – – UNENCRYPTED – có thể đọc được, ngay cả khi vô hiệu hóa ‌Siri‌, mà không yêu cầu khóa riêng. Hầu hết sẽ cho rằng việc vô hiệu hóa ‌Siri‌ sẽ ngăn macOS thu thập thông tin về người dùng. Đây là một vấn đề lớn.

Đây là một vấn đề lớn đối với các chính phủ, tập đoàn và những người thường xuyên sử dụng email được mã hóa và hy vọng nội dung sẽ được bảo vệ. Thông tin bí mật hoặc tối mật, được gửi mã hóa, sẽ được tiết lộ thông qua quy trình và cơ sở dữ liệu này, cũng như trao đổi bí mật và dữ liệu độc quyền.

Apple nói với The Verge rằng nó đã được tạo ra nhận thức được vấn đề và sẽ giải quyết nó trong bản cập nhật phần mềm trong tương lai. Apple cũng cho biết chỉ một phần của một số email được lưu trữ và cung cấp cho Gendler các hướng dẫn về việc ngăn chặn dữ liệu được lưu trữ bởi cơ sở dữ liệu đoạn trích.

Vấn đề này ảnh hưởng đến một số người hạn chế trong thực tế và không phải là điều mà người dùng macOS thường lo lắng. Nó yêu cầu khách hàng sử dụng macOS và ứng dụng Apple Mail để gửi email được mã hóa. Nó không ảnh hưởng đến những người đã bật FileVault và một người muốn truy cập thông tin cũng cần biết các tệp trong hệ thống của Apple để tìm và có quyền truy cập vật lý vào máy.

Tuy nhiên, như Gendler chỉ ra, lỗ hổng đặc biệt này "đưa ra câu hỏi về những gì khác được theo dõi và có khả năng được lưu trữ không đúng cách mà bạn không nhận ra."

Những người quan tâm về vấn đề này có thể ngăn dữ liệu được thu thập trong cơ sở dữ liệu snippets.db bằng cách mở Tùy chọn hệ thống, chọn phần ‌Siri‌, chọn ‌Siri‌ Gợi ý & quyền riêng tư, chọn Thư và sau đó tắt "Tìm hiểu từ này Ứng dụng. " Điều này sẽ ngăn các email mới được thêm vào snippets.db nhưng sẽ không xóa những email đã được đưa vào.

Apple đã nói với Verge rằng những khách hàng muốn tránh các đoạn mã không được mã hóa bởi các ứng dụng khác có thể tránh cho ứng dụng truy cập toàn bộ đĩa trong ‌macOS Catalina‌. Bật FileVault cũng sẽ mã hóa mọi thứ trên Mac.

Chi tiết đầy đủ về lỗ hổng có thể được đọc trong bài viết Trung bình của Gendler.

Xem tiếp…