image

Apple Mail slaat versleutelde e-mails onversleuteld op

maandag 11 november 2019, 12:06 door Redactie, 8 reacties

Apple Mail voor macOS slaat versleutelde e-mails onversleuteld op, zo heeft onderzoeker Bob Gendler ontdekt. Apple werkt aan een oplossing. Gendler vond op zijn Mac een database genaamd snippets.db die zijn met S/MIME versleutelde e-mails onversleuteld bleek op te slaan.

S/MIME maakt gebruik van een sleutelpaar om e-mails te versleutelen, namelijk een public en een private key. E-mails worden met de public key van de ontvanger versleuteld. Het bericht is alleen te ontsleutelen met de bijbehorende private key, die alleen in het bezit van de ontvanger zou moeten zijn. Als de private key er niet meer is, zou het niet mogelijk moeten zijn om het bericht te lezen. "Tenzij je private key is gecompromitteerd, kun je er zeker van zijn dat alleen je beoogde ontvanger toegang tot de gevoelige data in je e-mail heeft", merkt Gendler op.

In het geval van Apple Mail blijken de versleutelde e-mails onversleuteld te worden opgeslagen. Iemand die toegang tot deze database heeft kan zo de inhoud van de versleutelde berichten bekijken zonder dat een privésleutel is vereist. "Dit is een serieus probleem voor overheden, bedrijven en normale mensen die versleutelde e-mail gebruiken en verwachten dat de inhoud is beschermd", aldus Gendler. Hij waarschuwt dat op deze manier versleutelde informatie risico loopt.

De database in kwestie wordt door Apple gebruikt om Siri betere informatie aan gebruikers te laten suggereren. Gebruikers die niet willen dat hun e-mails in de snippets-database terechtkomen krijgen dan ook het advies om de optie System Preferences > Siri > Siri Suggestions & Privacy > Mail > "Learn from this App" uit te schakelen. Hiermee worden nieuwe mails niet meer opgeslagen. Door het verwijderen van snippets.db zijn ook de oude berichten te verwijderen.

Gendler laat aan The Verge weten dat hij Apple op 29 juli over het probleem informeerde. Wanneer de fix beschikbaar komt is nog niet bekend. Volgens Apple wordt alleen een deel van de e-mails opgeslagen.

Reacties (8)
11-11-2019, 13:05 door [Account Verwijderd]
Beter dan andersom
11-11-2019, 13:33 door Anoniem
En wat is het issue? Aangezien hij je key/cert ook opslaat...
11-11-2019, 15:13 door Anoniem
Door Anoniem: En wat is het issue? Aangezien hij je key/cert ook opslaat...
Als je je privésleutel zelf versleuteld opslaat kan niet iemand even de mailtjes van je computertje vissen en ze lezen.

Geen idee of apple dat correct doet, maar dat is het idee.
11-11-2019, 15:31 door Anoniem
Door Anoniem: En wat is het issue? Aangezien hij je key/cert ook opslaat...

De issue lijkt me dat de ene feature van het OS de andere feature van het OS ongedaan maakt. Om een feature van Siri te laten functioneren wordt een beveiligingsmaatregel te niet gedaan. Dat lijkt me niet de bedoeling. Daarnaast moet je je nog afvragen waar die snippets.db wordt geen gestuurd. Met een beetje pech komt die ook nog bij Apple terecht.
11-11-2019, 15:46 door Anoniem
Who cares, apple klanten geven daar helemaal niets om. Voor hen is alleen belangrijk wat apple zegt. Als ze zeggen dat het encrypted en secure is, dan is dat voor hen gewoon voldoende.

PS. ook lekker dat dat siri standaard overal bij kan.
11-11-2019, 16:44 door Anoniem
Door donderslag: Beter dan andersom

Wat bedoel je nou precies?
Als je even verder leest is dit is toch minimaal een tweevoudig privacy issue?

Apple suggereert dat je emails versleuteld zijn.
Maar je hebt de key niet eens nodig om bij de emails te kunnen!
"...........Unfortunately, snippets.db stores these encrypted messages completely UNENCRYPTED, not requiring the private key to read the message........"

Daarnaast blijkt Siri er ook nog eens doorheen te snuiven terwijl je als gebruiker mogelijk de indruk hebt dat Siri er niet eens meer in kijkt.
"......... The interface in the Siri System Preference panel may show it’s checked, but if you uncheck it you can’t re-check it. So, the user interface may NOT ALWAYS REPORT PROPERLY that it’s enabled or disabled"
En dat lijkt mij toch ook wel het lezen en vermelden waard, of niet?
11-11-2019, 18:22 door Anoniem
Door Anoniem: Who cares, apple klanten geven daar helemaal niets om. Voor hen is alleen belangrijk wat apple zegt.
Wie denkt te spreken voor het geheel, ken het geheel niet.
11-11-2019, 18:46 door Briolet
Door Anoniem:
Door Anoniem: En wat is het issue? Aangezien hij je key/cert ook opslaat...
Als je je privésleutel zelf versleuteld opslaat kan niet iemand even de mailtjes van je computertje vissen en ze lezen.

Geen idee of apple dat correct doet, maar dat is het idee.

Om de mail vanuit Apple mail te kunnen lezen, moet de private key in de sleutelhanger staan. Daar staan alleen de wachtwoorden gecodeerd in, de private keys niet. Maar je kunt meerdere sleutelhangers maken. Ik gebruik verschillende sleutelhangers voor verschillende doelen.

Bij erg kritische inhoud, kun je zo'n sleutelhanger op een onafhankelijke server zetten en moet je eerst met een wachtwoord mounten om bij de key te komen. Zelf heb ik de private keys voor mail ook op een server staan. Maar hier synchroniseert hij de sleutelhanger tussen mijn mac's, zodat ze ook lokaal aanwezig zijn. Ik doe het omdat ik mijn wachtwoorden niet bij apple wil hebben in hun iCloud key.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.