Quando se trata de criptografia, a Apple é uma empresa que defende o esforço de segurança há anos. Mas acontece que a criptografia com o aplicativo Mail padrão no macOS pode não ter sido tão boa quanto a empresa estava empurrando.
The Verge tem um relatório divulgado hoje que detalha a maneira como a Apple lida com emails criptografados com o macOS e, especificamente, com o aplicativo padrão Apple Mail. Aparentemente, nas circunstâncias corretas, é possível ler o conteúdo de um email criptografado como se ele não tivesse sido criptografado. Pior, parece que a Apple pode saber sobre isso há algum tempo e só agora está se recuperando..
Mas primeiro, vamos tirar isso do caminho:
Antes de prosseguirmos, você deve saber que isso provavelmente afeta apenas um pequeno número de pessoas. Você precisa usar o macOS, o Apple Mail, enviar emails criptografados a partir de Apple Mail, não use o FileVault para criptografar todo o seu sistema e saiba exatamente onde, nos arquivos de sistema da Apple, esteja procurando essas informações. Se você fosse um hacker, também precisaria acessar esses arquivos do sistema.
O problema foi observado pela primeira vez pelo especialista em TI da Apple, Bob Gendler on Medium, no início desta semana. De acordo com Gendler, ele descobriu arquivos de banco de dados do macOS que armazenam informações de aplicativos como o Mail e outros, que são usados pela Siri para sugerir melhores informações ao usuário final. É assim que é suposto funcionar, pois a Siri usa essas informações para aprender sobre cada usuário e oferecer sugestões com base nessas informações..
No entanto, Gendler encontrou um arquivo de banco de dados chamado “snippets.db” que está armazenando o texto não criptografado dos emails que deveriam ser criptografados.
O grande problema aqui não é apenas que o macOS está armazenando texto de email não criptografado em um arquivo de banco de dados, mas que Gendler testou o último quatro versões principais do sistema operacional de desktop da Apple - Sierra, High Sierra, Mojave e Catalina - e descobriu o problema presente em todos eles.
Gendler diz que relatou o problema à Apple em 29 de julho deste ano. 99 dias depois, em 5 de novembro, a Apple finalmente respondeu. E embora tenha havido várias atualizações para os sistemas operacionais de desktop ao longo dos anos, nenhuma delas incluiu um patch para esse problema.
Se você deseja impedir que os e-mails sejam coletados no snippets.db agora, a Apple nos diz que você pode fazê-lo acessando Preferências do sistema> Siri> Sugestões e privacidade da Siri> Correio e alternando para "Aprenda com este aplicativo". A Apple também forneceu esta solução para Gendler - mas ele diz que esta solução só vai parar Novo e-mails sejam adicionados ao snippets.db. Se você deseja garantir que os emails mais antigos que podem ser armazenados no snippets.db não possam mais ser verificados, talvez seja necessário excluir esse arquivo também.
Se você deseja evitar que esses trechos não criptografados possam ser lidos por outros aplicativos, evite conceder aos aplicativos acesso total ao disco no macOS Catalina, de acordo com a Apple - e provavelmente você tem muito poucos aplicativos com acesso total ao disco. A Apple também diz que ativar o FileVault criptografará tudo no seu Mac, se você quiser ser mais seguro.
Vale a pena repetir a parte importante na parte superior deste artigo, à medida que encerramos: esse problema não afetará muitas pessoas. No entanto, isso não o torna menos importante, especialmente considerando há quanto tempo está presente no macOS.
A Apple disse The Verge que uma correção para o problema de segurança está chegando, mas não deu uma data exata de quando devemos esperar que um novo software corrija o problema.
