macOS上的Apple Mail应用程序将加密邮件以明文形式存储在名为snippets.db的数据库中。
这个问题是今年早些时候由一位名叫鲍勃·根德勒的苹果IT专家发现的。
在撰写本文时,这个问题还没有解决,不过詹德勒早在7月份就告诉了公司。据科技新闻网站TheVerge报道,一个解决方案即将到来;然而,苹果没有提供时间表。
APPLE MAIL+SIRI=坏
该漏洞的出现是因为Siri功能允许苹果语音助理在用户请求后为联系人提供信息。
根据Gendler的说法,Siri使用一个名为“suggested”的过程来收集各种应用程序的联系信息。无论找到什么,它都会存储在snippets.db文件中,在那里保存数据,以防用户需要联系建议。
今年夏天,Gendler发现,如果用户将Apple Mail配置为发送和接收加密电子邮件,Siri将收集用户电子邮件的纯文本版本,并将其存储在这个数据库中。
“这是件大事。对于政府、企业和普通人来说,这是一件大事,他们使用加密电子邮件,并希望内容受到保护,”Gendler在本周发表的一篇博客文章中说。
他说:“经过加密发送的机密或绝密信息将通过这个过程和数据库公开,商业机密和专有数据也将如此。”。
如何防止SIRI抓取你的邮件
Gendler说,从Sierra到Catalina的所有macOS版本都存在这个问题。
Mac的IT专家说,禁用Siri没有任何作用,因为“提示”过程不断地抓取电子邮件,以便在下一次启用Siri时将它们准备好。
防止Siri抓取加密邮件的唯一方法就是明确告诉它不要阅读苹果邮件的内容。
Gendler说:“有3种方法可以禁止这些进程从苹果邮件中学习。他们是:
1)转到系统首选项→Siri→Siri建议和隐私,然后取消选中Apple Mail的复选框。
2)从Mac终端运行以下命令(作为普通用户,不需要管理员访问):
默认写入com.apple.suggestions SiriCanLearnFromAppBlacklist-array com.apple.mail
3)部署系统级(适用于所有用户)配置配置文件,以关闭Siri从Apple Mail学习的功能。
Gendler说第三个选项是永久的,因为未来的操作系统更新不会意外地重新启用Siri的电子邮件抓取功能。
Gendler说,最后一步是删除snippets.db文件。告诉Siri停止刮除苹果邮件内容不会自动删除此文件,因此用户需要自己动手。文件位于“/Users/(username)/Library/Suggestions/”中。
(内容翻译于zdnet.com)
1770
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
