Como muitos sabem, o aplicativo Mail do macOS oferece aos usuários uma opção de criptografia de mensagens — com ela, os emails trocados dentro do app são criptografados pela própria Apple e acessíveis somente por você, mediante suas credenciais, na plataforma da Maçã. O problema é que, como um pesquisador descobriu recentemente, esse processo tem uma brecha.
Anteontem, o pesquisador de segurança digital Bob Gendler publicou um texto no Medium compartilhando suas descobertas — e elas têm a ver com um elemento deveras insuspeito: as sugestões da Siri. De acordo com Gendler, uma função do macOS cria um arquivo de base de dados chamado snippets.db, que é utilizado para que a assistente ofereça sugestões de contatos; o problema é que o arquivo guarda, também, mensagens completas do Mail sem nenhuma criptografia.
O problema afeta quem usa o Mail no macOS Catalina, Mojave, Sierra ou High Sierra, desde que eles não tenham o FileVault (sistema de criptografia geral do sistema) ativado. A falha é particularmente grave para usuários que trocam informações sensíveis pelo Mail, já que o recurso de criptografia seria um mecanismo de proteger esses dados — e um cracker com acesso simples à máquina poderia obter os emails trocados sem precisar quebrar a criptografia do aplicativo aproveitando-se da vulnerabilidade.
A imagem abaixo mostra o problema: o Mail afirma não ser capaz de ler a imagem, pois a chave privada da criptografia que permitiria esse processo foi removida por Gendler. Na janela à direita, entretanto, a mensagem é perfeitamente visível por conta do arquivo de base de dados. A vulnerabilidade persiste mesmo se você desativar a Siri no seu Mac, é bom notar.
O pesquisador informou a Apple sobre a vulnerabilidade no dia 29 de julho passado, e mesmo após quase 100 dias (e uma atualização completa do macOS) a Maçã ainda não emitiu uma solução para o problema. A empresa afirma que está ciente dele e o corrigirá numa versão futura do sistema, mas sem especificar datas; segundo a Apple, apenas trechos dos emails são armazenados no arquivo.
Ainda assim, caso você tenha preocupações de que a falha possa lhe afetar, é possível seguir dois caminhos para coibi-la agora mesmo. A primeira opção é ativar o FileVault na seção “Segurança e Privacidade” das Preferências do Sistema. A segunda é desautorizar a Siri a analisar seus emails, o que pode ser feito da seguinte forma:
- Nas Preferências do Sistema, acesse a opção Siri » Sugestões da Siri e Privacidade;
- Selecione a opção “Mail” e desmarque a caixa “Aprender deste App”.
Vamos continuar acompanhando esse assunto e vendo as futuras atualizações da Maçã. Por ora, cuidem-se!
via 9to5Mac
