苹果上周发布了macOS Catalina 10.15.3更新,资安专家根德勒(Bob Gendler)在博客发布文章表示,此次更新也修复了其于去年11月披露的邮件(Apple Mail)App错误,该错误将使加密邮件被明码储存,可能导致重要信息外泄。
根德勒去年11月在博客发文指出,其于7月发现了macOS系统内置邮件App的漏洞。当用户使用该App发送邮件后,会开启系统预设的Siri学习功能,将信件文字内容储存于一个名为「snippets.db」的数据库中,且不会受到邮件加密的保护,使有心人士便得以从中直接获取用户的邮件内容。该漏洞至少存在于Sierra到Catalina的4个版本的macOS中,而据根德勒稍早的博客文章,苹果已在macOS Catalina 10.15.3更新中修复该漏洞。
事实上,该漏洞的影响范围可能不大,毕竟有心人士想利用该漏洞也不容易。用户需要使用macOS系统内置的邮件App(而非第三方邮件App)发送邮件,且关闭FileVault的全硬盘加密,且须确切知晓在系统文件中找寻该数据存放的位置。
事实上,苹果并未于macOS Catalina 10.15.3的说明中提及该修复程序,但Catalina 10.15.3的beta版发布说明内写道,加密邮件已不会出现在Spotlight的搜寻结果中。这可能意味着苹果已改变其对内置邮件App内加密邮件编制索引的方式,以防止上述的漏洞发生。
此外,据科技网站报道,iOS 13.4更新也将修复自iOS 13发布以来存在的内置邮件App的错误设计,在iOS 13.4中,「删除」及「回复」两键将位于底部工具栏的两端,并添增「标签」及「移动文件夹」的快速操作选项。苹果在iOS13中莫名删除了「标签」及「移动文件夹」两快速操作键,并将「删除」及「回复」两键放置于右侧,在工具栏左侧大量留白,这种设计使不少用户抱怨,想回复邮件时常会误按到删除。
领取专属 10元无门槛券
私享最新 技术干货