据zdnet报道,macOS上的Apple Mail应用程序将加密邮件以明文形式存储在名为snippets.db的数据库中。今年早些时候,一位名叫Bob Gendler的苹果IT专家发现了这一问题。
截至发稿时间,这个问题还没有得到解决,不过Gendler在 7 月份就已经告知了苹果公司。而据TheVerge报道,苹果即将推出一个解决方案,但官方并未提供具体时间表。
据介绍,该漏洞的出现是因为Siri功能允许苹果语音助理在用户请求后为联系人提供信息。根据Gendler的说法,Siri使用一个名为“suggested”的过程来收集各种应用程序的联系信息。该过程会将抓取的所有信息都存储在snippets.db文件中,以备用户需要联系建议。
今年夏天,Gendler发现,如果用户将Apple Mail配置为发送和接收加密电子邮件,Siri将收集用户电子邮件的纯文本版本,并将其存储在这个数据库中。
Gendler称:这意味着经过加密发送的机密或绝密信息将通过这个过程和数据库公开,商业机密和专有数据也将如此。从Sierra到Catalina的所有macOS版本都存在这个问题。禁用Siri没有任何效果,因为“提示”过程会不断地抓取电子邮件,以便在下一次启用Siri时准备好信息。
据介绍,防止Siri抓取加密邮件的唯一方法就是明确命令它不要阅读Apple Mail的内容。Gendler提供了三种办法,分别如下
1.进入系统偏好设置→Siri→Siri建议和隐私,然后取消选中Apple Mail的复选框。
2.从Mac终端运行以下命令(作为普通用户,不需要管理员访问):
默认写入com.apple.suggestions SiriCanLearnFromAppBlacklist-array com.apple.mail
3.部署系统级(适用于所有用户)配置文件,以关闭Siri从Apple Mail学习的功能。
Gendler称第三个选项是永久性的,因为未来的操作系统更新不会重新启用Siri的电子邮件抓取功能。最后一步是删除snippets.db文件。告诉Siri停止抓取Apple Mail内容并不会自动删除此文件,因此用户需要自己动手操作。文件位于“/Users/(username)/Library/Suggestions/”中。
