Apple Mail slaat versleutelde e-mails onversleuteld op
Apple Mail voor macOS slaat versleutelde e-mails onversleuteld op, zo heeft onderzoeker Bob Gendler ontdekt. Apple werkt aan een oplossing. Gendler vond op zijn Mac een database genaamd snippets.db die zijn met S/MIME versleutelde e-mails onversleuteld bleek op te slaan.
S/MIME maakt gebruik van een sleutelpaar om e-mails te versleutelen, namelijk een public en een private key. E-mails worden met de public key van de ontvanger versleuteld. Het bericht is alleen te ontsleutelen met de bijbehorende private key, die alleen in het bezit van de ontvanger zou moeten zijn. Als de private key er niet meer is, zou het niet mogelijk moeten zijn om het bericht te lezen. "Tenzij je private key is gecompromitteerd, kun je er zeker van zijn dat alleen je beoogde ontvanger toegang tot de gevoelige data in je e-mail heeft", merkt Gendler op.
In het geval van Apple Mail blijken de versleutelde e-mails onversleuteld te worden opgeslagen. Iemand die toegang tot deze database heeft kan zo de inhoud van de versleutelde berichten bekijken zonder dat een privésleutel is vereist. "Dit is een serieus probleem voor overheden, bedrijven en normale mensen die versleutelde e-mail gebruiken en verwachten dat de inhoud is beschermd", aldus Gendler. Hij waarschuwt dat op deze manier versleutelde informatie risico loopt.
De database in kwestie wordt door Apple gebruikt om Siri betere informatie aan gebruikers te laten suggereren. Gebruikers die niet willen dat hun e-mails in de snippets-database terechtkomen krijgen dan ook het advies om de optie System Preferences > Siri > Siri Suggestions & Privacy > Mail > "Learn from this App" uit te schakelen. Hiermee worden nieuwe mails niet meer opgeslagen. Door het verwijderen van snippets.db zijn ook de oude berichten te verwijderen.
Gendler laat aan The Verge weten dat hij Apple op 29 juli over het probleem informeerde. Wanneer de fix beschikbaar komt is nog niet bekend. Volgens Apple wordt alleen een deel van de e-mails opgeslagen.
Geen idee of apple dat correct doet, maar dat is het idee.
De issue lijkt me dat de ene feature van het OS de andere feature van het OS ongedaan maakt. Om een feature van Siri te laten functioneren wordt een beveiligingsmaatregel te niet gedaan. Dat lijkt me niet de bedoeling. Daarnaast moet je je nog afvragen waar die snippets.db wordt geen gestuurd. Met een beetje pech komt die ook nog bij Apple terecht.
PS. ook lekker dat dat siri standaard overal bij kan.
Wat bedoel je nou precies?
Als je even verder leest is dit is toch minimaal een tweevoudig privacy issue?
Apple suggereert dat je emails versleuteld zijn.
Maar je hebt de key niet eens nodig om bij de emails te kunnen!
"...........Unfortunately, snippets.db stores these encrypted messages completely UNENCRYPTED, not requiring the private key to read the message........"
Daarnaast blijkt Siri er ook nog eens doorheen te snuiven terwijl je als gebruiker mogelijk de indruk hebt dat Siri er niet eens meer in kijkt.
"......... The interface in the Siri System Preference panel may show it’s checked, but if you uncheck it you can’t re-check it. So, the user interface may NOT ALWAYS REPORT PROPERLY that it’s enabled or disabled"
En dat lijkt mij toch ook wel het lezen en vermelden waard, of niet?
Geen idee of apple dat correct doet, maar dat is het idee.
Om de mail vanuit Apple mail te kunnen lezen, moet de private key in de sleutelhanger staan. Daar staan alleen de wachtwoorden gecodeerd in, de private keys niet. Maar je kunt meerdere sleutelhangers maken. Ik gebruik verschillende sleutelhangers voor verschillende doelen.
Bij erg kritische inhoud, kun je zo'n sleutelhanger op een onafhankelijke server zetten en moet je eerst met een wachtwoord mounten om bij de key te komen. Zelf heb ik de private keys voor mail ook op een server staan. Maar hier synchroniseert hij de sleutelhanger tussen mijn mac's, zodat ze ook lokaal aanwezig zijn. Ik doe het omdat ik mijn wachtwoorden niet bij apple wil hebben in hun iCloud key.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
