Apple 人工智慧助理 Siri 意外曝光漏洞 學習你的郵件內容卻外洩加密郵件
Mac 版 Apple Mail 出現漏洞,理應加密的郵件被明文儲存於他處,蘋果表示將釋出更新版本。
這項漏洞是由 IT 專家 Bob Gendler 揭露,影響 Sierra、High Sierra、Mojave 及 Catalina 等多個 macOS 版。他發現數個 macOS 版中的資料庫檔案內有 Apple Mail 的資訊,這些資訊主要是作為數位助理 Siri 提供建議之用,例如用戶詢問聯絡資訊時。不巧的是其中一個檔案 snippets.db 儲存的是未加密的郵件內容文字。
這個問題只影響少數用戶。用戶需要以 macOS 版 Apple Mail 傳送電子郵件,且未啟動 FileVaul 加密整個系統。而想偷看未加密郵件的人也須知道資訊儲存在何處,還要有存取權限才行。
但是對中標的用戶來說,就有很大風險,因為你加密郵件都是有原因的,例如想確保公司機密不外洩,因此任何曝光都可能釀成災禍。
「這下你得擔心什麼東西被追蹤了,還有什麼東西被不當儲存而你不知道,」Gendler 說。
蘋果已經知道此事,並表示之後會釋出更新版來修補。不過 Gendler 說,他早在 7 月 29 日就通報蘋果,但蘋果直到 11 月 5 日才回覆。
在蘋果釋出修補程式前,你可以到「系統偏好設定」下的 Siri 區,找到「Siri 建議及隱私權」選單,將 Mail 下的「從這個 App 學習」選項關閉。但這只是臨時解法,只能防止新郵件被蒐集到 snippet.db 檔中。較好的方法是啟動 Terminal 程式,執行 defaults write com.apple.suggestions SiriCanLearnFromAppBlacklist -array com.apple.mail 指令,或設定系統層設定檔來強制關閉 Siri 蒐集 Apple Mail。只有第三個方法才能永久關閉 macOS 和 Siri 蒐集所有用戶的 Apple Mail 資訊。
Mail app 在 10 月也曾傳出升級到 macOS Catalina 後信件會遺失、不完整,或是在不同信箱間移動時郵件內容會整個變空白。此外,iOS 升級到 13 版時也發生過類似問題。