Apple неодноразово акцентувала увагу на тому, що головним її пріоритетом є конфіденційність і безпека користувачів, але, як виявилося, не всі її продукти так вже надійні.
IT-фахівець Боб Гендлер виявив недолік у поштовому клієнті Apple Mail в macOS, який дозволяє бачити електронні листи в файлі бази даних в незашифрованому вигляді.
Гендлер виявив уразливість, коли намагався з’ясувати, як macOS і Siri пропонують інформацію користувачам. В ході аналізу він виявив процес під назвою suggestd, запущений системним процесом LaunchAgent com.apple.suggestd, а також каталог Suggestions в папці “Бібліотека”, який містить велику кількість файлів, в тому числі файли баз даних. У цих базах зберігається інформація від програми “Пошта” та інших програм, що використовується для поліпшення механізму пропозицій macOS і Siri.
“Я виявив, що файл бази даних snippets.db у папці Suggestions містив мої електронні листи. Більш того, моя пошта, зашифрована за стандартом S/MIME, міститься в абсолютно незашифрованому вигляді. Навіть якщо Siri відключена на Мас, повідомлення все одно зберігаються незашифрованими”, – написав Гендлер.
Він також виявив базу даних entities.db, що містить інформацію про імена, номери телефонів і адреси електронної пошти всіх, з ким контактував користувач.
Як зазначається, проблема стосується виключно користувачів, які відправляють листи через Apple Mail з використанням шифрування в додатку і не застосовують шифрування за технологією FileVault безпосередньо в macOS. Таким чином, отримавши доступ до файлового сховища і бази даних, зловмисник може побачити будь-які листи в незашифрованому текстовому форматі.
Спеціаліст поінформував Apple про проблему ще 29 липня цього року, однак через понад три місяці уразливість все ще залишається актуальною. Компанія пообіцяла усунути проблему в майбутньому оновленні для macOS, проте конкретні терміни випуску виправлення не вказала.
Нагадаємо, починаючи з 7 листопада, Microsoft почала поставляти гарнітуру доповненої реальності HoloLens другого покоління клієнтам, які попередньо замовили пристрій.
Окрім цього, дослідники з безпеки виявили низку уразливостей в прошивці декількох маршрутизаторів Cisco для малого бізнесу.
Також кіберполіція викрила колишнього адміністратора одного з відомих хакерських форумів. 33-річний мешканець Чернігова раніше проходив службу у лавах Збройних сил України, обіймаючи посаду інженера комп’ютерних мереж.
Зверніть увагу, дії в Інтернеті передбачають обмін певною особистою інформацією чи конфіденційними даними, які у разі вашої неуважності можуть опинитися в руках зловмисників. Для забезпечення захисту Ваших персональних даних під час роботи в Інтернет-мережі дотримуйтесь основних правил кібергігієни.
До речі, на Pwn2Own 2019 Токіо за два дні змагань “зламали” пристрої Amazon Echo, Xiaomi Mi9 та Galaxy S10. Хакери заробили $ 315 тисяч, загальний фонд призових заходу – $ 750 тисяч.
