Apple、一部の暗号化メールのテキストが読み取れるままになるmacOSメールの脆弱性を修正へ

IT スペシャリストの Bob Gendler 氏のレポートによると、Apple Mail アプリの macOS バージョンには、暗号化された電子メールのテキストの一部が暗号化されないままになる脆弱性があります ( The Verge 経由)。

ジェンドラー氏によると、連絡先の提案を提供する macOS 機能で使用されるsnippets.dbデータベース ファイルには、Macで Siri が無効になっている場合でも、暗号化された電子メールが暗号化されていない形式で保存されます。

ジェンドラー氏は 7 月 29 日にこのバグを最初に発見し、Apple に報告しました。数カ月にわたり、Apple はこの問題を調査していると述べたが、修正はなかった。この脆弱性は、macOS Catalina および macOS Sierra に遡る macOS の以前のバージョンに引き続き存在します。

もう一度言わせてください…snippets.db データベースには、暗号化された Apple Mail メッセージが保存されています…完全に、完全に、完全に — 暗号化されていません — Siri が無効になっていても、秘密キーを必要とせずに読み取ることができます。ほとんどの人は、Siri を無効にすると、macOS がユーザーに関する情報を収集できなくなると考えています。これは大変なことです。

これは、暗号化された電子メールを使用し、コンテンツの保護を期待している政府、企業、一般の人々にとっては大きな問題です。暗号化されて送信された機密情報や最高機密情報は、企業秘密や専有データと同様に、このプロセスとデータベースを介して公開されます。

Appleは The Verge に対し、この問題は認識しており、将来のソフトウェアアップデートで対処する予定であると語った。 Appleはまた、一部の電子メールの一部のみが保存されていると述べ、スニペットデータベースにデータが保存されないようにするための指示をジェンドラー氏に提供した。

この問題は実際に影響を受ける人は限られており、macOS ユーザーが通常心配する必要はありません。暗号化された電子メールを送信するには、顧客は macOS と Apple Mail アプリを使用する必要があります。 FileVault を有効にしているユーザーには影響しません。また、情報にアクセスしたいユーザーは、Apple のシステム ファイルのどこを調べてマシンに物理的にアクセスすればよいのかを知る必要もあります。

それでも、ジェンドラー氏が指摘するように、この特定の脆弱性は「気付かないうちに他に何が追跡され、不適切に保存される可能性があるかという問題を引き起こします」。

この問題が懸念される場合は、システム環境設定を開き、「Siri」セクションを選択し、「Siri」の提案とプライバシーを選択し、「メール」を選択して「このアプリから学習」をオフにすることで、snippets.db データベースにデータが収集されないようにすることができます。これにより、新しいメールがsnippets.dbに追加されなくなりますが、すでに含まれているメールは削除されません。

Appleは The Verge に対し、暗号化されていないスニペットが他のアプリに読み取られることを避けたい顧客は、macOS Catalinaでアプリにフルディスクアクセスを与えることを避けることができると語った。 FileVault をオンにすると、Mac 上のすべてが暗号化されます。

この脆弱性の詳細については 、Gendler’s Medium の記事を参照し てください。