C’è un problema con le mail criptate su macOS, le quali dovrebbero essere completamente sicure ed illegibili da altri occhi se non i nostri. A quanto pare i contenuti delle email sono visibili in chiaro su macOS, basta avere accesso fisico al Mac o ai dati al suo interno.

Perchè c’è un problema con le mail criptate su macOS?

Cominciamo col dire che il problema delle mail criptate su macOS riguarda una piccola porzione di persone che usano i servizi Apple. Nello specifico sono interessati gli utenti che:

  • Utilizzano macOS
  • Usano Apple Mail per inviare mail criptate
  • Non usano FileVault per proteggere il contenuto del proprio sistema

Se si conosce la posizione dei file di sistema di macOS si può accedere ad un file, snippets.db, che raccoglie il contenuto delle email in chiaro e altri dati, senza alcuna protezione.

vulnerabilità email criptate macOS
Credit: The Verge

Nell’ovale a sinistra viene mostrata la mail criptata, con alcuni dati nascosti per non violare la privacy. Utilizzando Apple Mail l’invio delle mail dovrebbe essere sicuro, essendo esse criptate durante l’invio.

Nell’ovale a destra però notiamo che il contenuto della mail è perfettamente leggibile dal database in chiaro presente su macOS. Una falla di sicurezza piuttosto preoccupante, per una compagnia che vuole convincerci dell’assoluta sicurezza dei suoi prodotti.

Oltre 100 giorni di vulnerabilità

Il primo a scoprire questo problema in macOS riguardante le mail criptate e a farlo presente ad Apple è stato Bob Gendler, uno specialista IT dei prodotti Apple. La scoperta è avvenuta per caso, indagando su come macOS e Siri suggeriscono informazioni ai propri utenti. Cercando altro ha scoperto il database di Apple Mail in chiaro.

Secondo Gender tutte le versioni più recenti di macOS, ovvero Catalina, Mojave, High Sierra e Sierra, sono affette da questa falla di sicurezza. La prima segnalazione è stata fatta il 29 Luglio 2019, e ad oggi, nonostante il nuovo macOS Catalina e decine di aggiornamenti, non c’è ancora un fix permanente.

La soluzione al problema delle mail criptate su macOS

Se volete che le mail non siano mostrate in chiaro sul file snippets.db potete farlo andando su Impostazioni di Sistema > Siri > Siri Privacy e Suggerimenti > Mail e spuntare “Impara da questa app“. Solo in questo modo le nuove email non verranno inserite: se volete cancellare le vecchie dovrete eliminare fisicamente il file snippets.db.