在 MacOS平台下 Apple Mail 电子邮件以明文加密方式来保证用户的安全

macOS上的Apple Mail应用程序将加密邮件以明文形式存储在名为snippets.db的数据库中。

这个问题是今年早些时候由一位名叫鲍勃·根德勒的苹果IT专家发现的。

在撰写本文时，这个问题还没有解决，不过詹德勒早在7月份就告诉了公司。据科技新闻网站TheVerge报道，一个解决方案即将到来；然而，苹果没有提供时间表。

APPLE MAIL+SIRI=坏

该漏洞的出现是因为Siri功能允许苹果语音助理在用户请求后为联系人提供信息。

根据Gendler的说法，Siri使用一个名为“suggested”的过程来收集各种应用程序的联系信息。无论找到什么，它都会存储在snippets.db文件中，在那里保存数据，以防用户需要联系建议。

今年夏天，Gendler发现，如果用户将Apple Mail配置为发送和接收加密电子邮件，Siri将收集用户电子邮件的纯文本版本，并将其存储在这个数据库中。

“这是件大事。对于政府、企业和普通人来说，这是一件大事，他们使用加密电子邮件，并希望内容受到保护，”Gendler在本周发表的一篇博客文章中说。

他说：“经过加密发送的机密或绝密信息将通过这个过程和数据库公开，商业机密和专有数据也将如此。”。

如何防止SIRI抓取你的邮件

Gendler说，从Sierra到Catalina的所有macOS版本都存在这个问题。

Mac的IT专家说，禁用Siri没有任何作用，因为“提示”过程不断地抓取电子邮件，以便在下一次启用Siri时将它们准备好。

防止Siri抓取加密邮件的唯一方法就是明确告诉它不要阅读苹果邮件的内容。

Gendler说：“有3种方法可以禁止这些进程从苹果邮件中学习。他们是：

1）转到系统首选项→Siri→Siri建议和隐私，然后取消选中Apple Mail的复选框。

2）从Mac终端运行以下命令（作为普通用户，不需要管理员访问）：

默认写入com.apple.suggestions SiriCanLearnFromAppBlacklist-array com.apple.mail

3）部署系统级（适用于所有用户）配置配置文件，以关闭Siri从Apple Mail学习的功能。

Gendler说第三个选项是永久的，因为未来的操作系统更新不会意外地重新启用Siri的电子邮件抓取功能。

Gendler说，最后一步是删除snippets.db文件。告诉Siri停止刮除苹果邮件内容不会自动删除此文件，因此用户需要自己动手。文件位于“/Users/（username）/Library/Suggestions/”中。

（内容翻译于zdnet.com）