logo
  1. Информационно-психологическая война
  2. Информационная безопасность
Новость, / Купертино

Зашифрованные письма в Apple Mail оказались не такими уж шифрованными

ШифровкаШифровка
Цитата из х∕ф «Зорге». Реж. Сергей Гинзбург. 2018. Росия, Китай

Зашифрованные письма пользователей хранятся в почтовом клиенте MacOS без шифрования, об этом сообщает ИТ-специалист Боб Гендлер в своем блоге 6 ноября.

Энтузиаст пытался понять, каким образом голосовой помощник Siri выбирает информацию, предлагаемую пользователю. В своих поисках он обнаружил большое количество баз данных, в которых хранилась различная информация.

Одна из баз данных содержала в себе копии текстов писем, отправленных через встроенный почтовый клиент Apple Mail. Ситуация осложнилась тем, что в базе данных в открытом виде были доступны тексты писем, которые были зашифрованы в почтовой программе.

Таким образом, любой пользователь, имеющий доступ к файлам на устройстве имеет возможность прочитать зашифрованные письма, не имея ключа шифрования. Компания Apple обещает исправить ситуацию в одном из следующих обновлений операционной системы.

Боб отметил, что сообщил разработчикам об обнаруженной уязвимости еще 29 июля 2019 года, однако несколько месяцев получал в ответ лишь уведомление о том, что его сообщение изучается. За день до публикации уязвимости Боб получил от поддержки Apple предложение ограничить источники обучения голосового помощника.

Специалистом было установлено, что наполнение базы обучения Siri происходит даже тогда, когда голосовой помощник выключен, так как наполнением баз занимается другая подсистема. Аналогичная ситуация наблюдается с именами и контактами тех, с кем общался пользователь — они также хранятся в открытом виде в такой же базе данных.

Отметим, что в информационных системах за последнее десятилетие механизмы адаптации к конкретному пользователю получили значительное развитие с внедрением технологий работы с большими данными. Такие технологии подразумевают получение индивидуальных особенностей поведения человека по публично доступной информации.

Эффективность таких систем растет, если к публичной добавлять частную информацию. Голосовые помощники, приложения банков и другие механизмы сбора информации могут собирать первичную информацию без должной осторожности, что приводит к подобным ситуациям, когда и без того прочитанная третьей стороной (Siri) почта оказывается доступной кому-либо еще.