苹果上周发布了macOS Catalina 10.15.3更新,安全专家根德勒(Bob Gendler)在博客发布文章表示,此次更新也修复了其于去年11月披露的邮件(Apple Mail)App错误,该错误将使加密邮件被明码储存,可能导致重要信息外泄。
根德勒去年11月在博客发文指出,其于7月发现了macOS系统内建邮件App的漏洞。当用户使用该App发送邮件后,会开启系统默认的Siri学习功能,将信件文字内容储存于一个名为「snippets.db」的数据库中,且不会受到邮件加密的保护,使有心人士便得以从中直接获取用户的邮件内容。该漏洞至少存在于Sierra到Catalina的4个版本的 macOS中,而据根德勒稍早的博客文章,苹果已在macOS Catalina 10.15.3更新中修复该漏洞。
事实上,该漏洞的影响范围可能不大,毕竟有心人士想利用该漏洞也不容易。用户需要使用macOS系统内建的邮件App(而非第三方邮件App)发送邮件,且关闭FileVault的全硬盘加密,且须确切知晓在系统文件中找寻该数据存放的位置。
事实上,苹果并未于macOS Catalina 10.15.3的说明中提及该修复程序,但Catalina 10.15.3的beta版发布说明内写道,加密邮件已不会出现在Spotlight的搜寻结果中。这可能意味着苹果已改变其对内建邮件App内加密邮件编制索引的方式,以防止上述的漏洞发生。
领取专属 10元无门槛券
私享最新 技术干货