【Siri係鬼】語音助理破解Apple Mail加密軟件
Apple 嘅語音助理 Siri,一直都被用家視為好幫手,唔使特別記指令,講幾句語音就可以幫手打電話、睇天氣預報、send 電郵短訊,真係好方便喎!不過,原來 MacOS 嘅 Siri 竟然係鬼,佢會自動儲起 Apple Mail 內嘅部分內容,將本來加咗密嘅內容以無加密方式儲起,如果有應用軟件攞到讀取權限,就好易俾人偷走入面嘅電郵內容。
發現呢個漏洞嘅係專門研究 Apple IT 嘅網絡安全專家 Bob Gendler,有日佢突然間對Siri 點樣為 MacOS 用家提供聯絡人及其他資訊嘅建議,所以就開始深入研究,最終俾佢發現到 MacOS 內一個資料夾內,存在咗同Apple Mail 有關嘅資訊。雖然本身 Apple Mail會加密電郵嘅內容,但資料夾內儲存嘅資料反而係無加密直接儲存。
呢個用嚟儲存資料嘅檔案叫 Snippets.db,因為佢係獨立存在於 Apple Mail 應用軟件之外,所以係不受保護,如果有其他應用攞到讀取權限,咁就變相可以攞到入面嘅電郵內容。專家 Bob 喺今年 7 月已向 Apple 舉報呢個漏洞存在於 Mac OS 10.12.6、10.13.6、10.14 及 10.15 內,而 Apple 亦喺 8 月 1 日確認。不過,Bob 喺 9 月就發現相同漏洞繼續存在喺新推出嘅 Catalina 版本內,過咗 100 日後亦未處理到問題,於是早兩日就公開呢個漏洞嘅細節喇。
Apple 回應傳媒查詢時話會喺未來軟件更新時解決呢個問題,仲強調入面只係儲存咗少部分電郵內容,換這之係咪想暗示話問題唔大呢?的確,今次受影響用家必須係用 Apple Mail 嚟收發電郵,但始終都有唔少人用緊以為信得過嘅電郵系統嚟收發機密料。現階段除咗唔再用 Apple Mail,亦可以喺 System Preferences→Siri→Siri Suggestions & Privacy→Mail 內,取消「Learn from this App」選項,咁就可以避免潛在風險。
