Beveiligingsonderzoeker Bob Gendler ontdekte eind juli een beveiligingslek in Apple Mail. E-mails die versleuteld verzonden worden, komen daardoor onversleuteld in de interne opslag terecht. Apple zegt op de hoogte te zijn van het lek en zegt dat het in een volgende software-update gedicht zal worden. Het is echter nog niet duidelijk wanneer deze update uit zal komen, terwijl het lek al maanden geleden gemeld werd.
Dat schrijft de beveiligingsonderzoeker in een blogpost op Medium.com. Tegenover The Verge laat hij weten dat hij Apple in juli op de hoogte bracht van het probleem.
Siri
Gendler dacht dat hij gebruikmaakte van de beveiligingsstandaard S/MIME (Secure/Multipurpose Internet Mail Extensions) als hij een e-mail verstuurde via Apple Mail. Dit is een standaard die gebruikmaakt van een zogeheten public key en private key. E-mails worden dan versleuteld met de public key van de ontvanger. Het is bericht is alleen te lezen als je in het bezit bent van de private key. Deze zou alleen in handen mogen zijn van de ontvanger. Normaal is het bericht niet te lezen als de private key ontbreekt. “Tenzij je private key is gecompromitteerd, kun je er zeker van zijn dat alleen je beoogde ontvanger toegang heeft tot de gevoelige data in je e-mail”, zo legt Gendler uit.
Bij Apple Mail blijkt dat versleutelde e-mails onversleuteld worden opgeslagen. Een hacker die erin slaagt om zich te krijgen tot deze database, kan zonder private key alle berichten lezen. Gendler ontdekte dat op de interne opslag van een MacOS-apparaat databasebestanden staan die door Siri gebruikt worden om de gebruiker relevante aanbevelingen te kunnen doen. Daarbij wordt ook gekeken naar de inhoud van e-mails. In het databasebestand snippets.db, vond hij onversleutelde inhoud van e-mails die versleuteld verzonden zijn via Apple Mail. Volgens Gendler worden mails hierin ook opgeslagen als Siri uitstaat. In de privacy-instellingen van Siri kan het opslaan van e-mails wel handmatig uitgezet worden. Daarvoor ga je naar System Preferences > Siri > Siri Suggestions & Privacy > Mail > Learn from this App.
Laag risico
Door gebruik te maken van het lek zou een hacker toegang kunnen krijgen tot de inhoud van versleutelde mails. “Dit is een serieus probleem voor overheden, bedrijven en normale mensen die versleutelde e-mail gebruiken en verwachten dat de inhoud is beschermd”, zo vertelt Gendler. Het risico dat hier daadwerkelijk gebruik van wordt gemaakt, schat hij laag in. Het gaat namelijk alleen om e-mails die verzonden zijn met Apple Mail en die niet op een andere manier versleuteld zijn. Daarnaast zou een hacker de databasebestanden nog toegankelijk moeten maken om de inhoud te kunnen inzien.
Apple belooft dat het beveiligingsprobleem op te lossen met een toekomstige software-update. Wanneer we deze kunnen verwachten is onbekend.
