最新軟體應用文章

Image credit:

苹果将修正一个会泄漏加密邮件内容的漏洞

这次是 Siri 的学习机能惹的祸。

Andy Yang
2019 年 11 月 9 日, 下午 01:30

虽然说苹果经常大肆鼓吹 macOS 的安全性,但偶尔发生一点隐私上的漏洞还是难免的。一位名为 Bob Gendler 的安全专家,发现了 macOS 的 Siri 会以「学习」为名,将信件的文字内容存在一个名为 snippets.db 的文档里。由于这是独立在 Mail app 之外,因此并不会受到邮件加密的保护,有心人士就可以从 snippets.db 当中直接获取你的邮件内容了。这个漏洞至少存在于四个版本的 macOS,由 Sierra 到 Catalina。

不过真有人想要利用这个漏洞的话,也不是那么容易就是了。首先,你必须要是使用内建的 Mail app,而非第三方的邮件软件,并且开启了 Siri 的学习功能,同时 FileVault 的全硬盘加密也必须要是关掉的。在官方的修正出来前,最简单的解决方法,就是到系统偏好的 Siri 设定中找到隐私权,再把 Mail 的勾勾拿掉,就能避免 Siri 的学习了。

Gendler 表示他在 7 月 29 日就已经回报了漏洞的存在,但苹果迟至 11 月 5 日才有回应,而且只是确认了问题的存在,修正还不知道要什么时候才能出炉。这和苹果向来强调的重视安全的形象,有些不符啊!