吳明宜Apple人工智慧助理Siri意外曝光漏洞 學習你的郵件內容卻外洩加密郵件
Mac版Apple Mail出現漏洞,理應加密的郵件被明文儲存於他處,蘋果表示將釋出更新版本。
這項漏洞是由IT專家Bob Gendler揭露,影響Sierra、High Sierra、Mojave及Catalina等多個macOS版。他發現數個macOS版中的資料庫檔案內有Apple Mail的資訊,這些資訊主要是作為數位助理Siri提供建議之用,例如用戶詢問聯絡資訊時。不巧的是其中一個檔案snippets.db儲存的是未加密的郵件內容文字。
這個問題只影響少數用戶。用戶需要以macOS版Apple Mail傳送電子郵件,且未啟動FileVaul加密整個系統。而想偷看未加密郵件的人也須知道資訊儲存在何處,還要有存取權限才行。
但是對中標的用戶來說,就有很大風險,因為你加密郵件都是有原因的,例如想確保公司機密不外洩,因此任何曝光都可能釀成災禍。
「這下你得擔心什麼東西被追蹤了,還有什麼東西被不當儲存而你不知道,」Gendler說。
蘋果已經知道此事,並表示之後會釋出更新版來修補。不過Gendler說,他早在7月29日就通報蘋果,但蘋果直到11月5日才回覆。
在蘋果釋出修補程式前,你可以到「系統偏好設定」下的Siri區,找到「Siri建議及隱私權」選單,將Mail下的「從這個App學習」選項關閉。但這只是臨時解法,只能防止新郵件被蒐集到snippet.db檔中。較好的方法是啟動Terminal程式,執行defaults write com.apple.suggestions SiriCanLearnFromAppBlacklist -array com.apple.mail指令,或設定系統層設定檔來強制關閉Siri蒐集Apple Mail。只有第三個方法才能永久關閉macOS和Siri蒐集所有用戶的Apple Mail資訊。
Mail app在10月也曾傳出升級到macOS Catalina後信件會遺失、不完整,或是在不同信箱間移動時郵件內容會整個變空白。此外,iOS 升級到13版時也發生過類似問題。