ifun.de — Apple News seit 2001. 31 446 Artikel

Apple zuckt mit den Schultern

Mac: Siri speichert verschlüsselte E-Mails im Klartext ab

29 Kommentare 29

Bob Gendler war gerade dabei zu verstehen, wie genau Siri unter macOS vorgeht, um Kontakte vorzuschlagen, die etwa beim Erstellen neuer E-Mails angeboten werden.

Dies führte Gendler zu dem Dienst „suggestd“ der daueraktiv im Systemhintergrund arbeitet und hier lokale Datenbanken verwaltet, in denen das Apple-Betriebsystem all jene Informationen speichert, die benötigt werden um brauchbare Vorschläge auszusprechen.

Soweit so alltäglich – etwas weiter geforscht wurde Gendler jedoch stutzig: In der von „suggestd“ bespielten Datenbank „snippets.db“ sichert Siri mitunter ganze E-Mails. Auch E-Mails die eigentlich S/MIME-verschlüsselt sind werden hier einfach im Klartext gespeichert. Unabhängig davon ob Siri systemweit aktiviert ist, oder nicht.

Gendler stellt fest:

Dies ist definitiv kein zu erwartendes Verhalten und kann als unbeabsichtigte Informations-Freigabe bewertet werden. Lassen Sie mich das noch einmal wiederholen… Die Datenbank snippets.db speichert verschlüsselte Apple Mail Nachrichten… vollständig, gänzlich, komplett – UNVERSCHLÜSSELT – lesbar, auch wenn Siri deaktiviert ist, ohne den privaten Schlüssel zu benötigen.

Um die Sicherung der E-Mails zu unterbinden müssen die Siri-Vorschläge für Mail in den Systemeinstellungen deaktiviert werden: Systemeinstellungen > Siri > Siri-Vorschläge & Datenschutz… > Haken bei Mail entfernen.

Mail Siri Vorschleage

Alternativ lässt sich per Terminal-Befehle festlegen, dass Siri E-Mails nicht auswerten und nicht zum Verbessern der eigenen Vorschläge nutzen soll:

defaults write com.apple.suggestions SiriCanLearnFromAppBlacklist -array com.apple.mail

Zudem hat Gendler ein Konfigurationsprofil zum Download bereitgestellt, dass die Siri-Auswertng der E-Mails stoppt.

Apple zuckt mit den Schultern

Fast ebenso spannend wie Gendler Mac-Archäologie ist die Dokumentation seines Versuches, Apple über das Problem zu informieren.

In den zurückliegenden 100 Tagen hat Gendler immer wieder versucht sich bei Apple Gehör zu verschaffen, hat Fehlerberichte eingereicht, das Security-Team kontaktiert, mit dem Firmen-Support gesprochen und letztlich sogar eine E-Mail an Tim Cook formuliert. Die ersten Meldungen wurden abgesetzt als macOS 10.14 aktuell war und macOS 10.15 noch in den Kinderschuhen steckte.

Db Email Key
Bis auf den Hinweis, das Verhalten über die oben beschriebenen Siri-Einstellungen zu deaktivieren, hat Apple jedoch nicht reagiert.

Gendler ist frustriert:

Es ist 100 Tage her, seitdem ich Apple alarmiert habe […] Für ein Unternehmen, das stolz auf Sicherheit und Datenschutz ist, überrascht mich die mangelnde Detail-Aufmerksamkeit bei einem solchen Thema völlig. Es wirft die Frage auf, was sonst noch getrackt und möglicherweise unsachgemäß gespeichert wird, ohne dass Sie es merken. […] Ich muss mich auch fragen, warum es 99 Tage gedauert hat, bis jemand [bei Apple] eine Antwort lieferte, wie man dies Verhalten verhindern kann.

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
07. Nov 2019 um 11:39 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    29 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
    Abonnieren
    Benachrichtige mich bei
    29 Comments
    Älteste Kommentare
    Neuste Kommentare Meiste Stimmen
    Inline Feedbacks
    View all comments
    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 31446 Artikel in den vergangenen 7306 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2021 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven