Especialista descobre que macOS armazena mensagens de e-mail sem criptografia

Por Rafael Rodrigues da Silva | 08 de Novembro de 2019 às 19h20
apple
Tudo sobre

Apple

Saiba tudo sobre Apple

Ver mais

Uma das coisas que a Apple mais se orgulha, e que já virou até argumento de venda da marca, é de que seus produtos e serviço são os únicos que realmente se preocupam com a privacidade do usuário, mas uma descoberta recente mostrou que isso pode não ser o caso do Apple Mail: o sistema de mensagens, que teoricamente deveria criptografar todos os e-mails enviados por ele, possuía uma falha que permitia o acesso de partes do conteúdo da mensagem como se não houvesse nenhum tipo de criptografia. E o pior: tudo aponta que a Apple já sabia disso há meses, mas escolheu ignorar a questão.

Essa vulnerabilidade foi tornada pública por Bob Gendler, um profissional de TI especializado em produtos Apple, em uma postagem no Medium na última quarta-feira (6). Na postagem, ele revela que, enquanto estava tentando descobrir como funcionava o mecanismo de sugestão de informações ao usuário pela Siri no macOS, nessa busca ele acabou encontrando uma base de dados do sistema operacional, que armazena dados do Apple Mail e de outros aplicativos, que é consultada pela Siri para entender quais informações poderão ser relevantes para o dono do aparelho.

Enquanto vasculhava esses arquivos, Gendler descobriu que um deles em específico, chamado snippets.db, estava armazenando o conteúdo de e-mails sem qualquer tipo de criptografia - o completo oposto do que a Apple vende para seus clientes, já que promete que 100% das mensagens enviadas e recebidas pelo Apple Mail estão criptografadas.

No círculo à esquerda, a mensagem criptografada pelo Apple Mail e no círculo à direita a mesma mensagem, sem criptografia, sendo acessada através do arquivo snippets.db (Imagem: Bob Gendler)

Gendler afirma que testou essa vulnerabilidade nas últimas quatro versões do macOS (Catalina, Mojave, High Sierra e Sierra), e em todas elas foi possível acessar o arquivo snippets.db e ler o conteúdo dos e-mails gravados ali. Ele afirma que avisou a empresa deste problema no dia 29 de julho deste ano, mas, apesar de ter conversado com ele durante todo o período, a Apple só foi oferecer uma solução temporária para o problema no dia 5 de novembro - quase cem dias depois. E, mesmo que durante este tempo a empresa tenha soltado atualizações para os quatro sistemas operacionais que possuem essa falha, nenhuma destas atualizações realmente corrige o problema.

Mesmo assim, por enquanto não há motivos para se desesperar por causa disso, já que esse problema atinge uma parcela muito pequena dos usuários. Isso porque, para que um hacker tenha acesso a esse arquivo e veja suas mensagens de e-mail, ele não apenas precisa conseguir invadir seu computador e saber exatamente onde este arquivo está escondido, como também é necessário que o usuário não utilize o FileVault, já que esse programa criptografa todos os arquivos da máquina, fazendo com que esse problema do snippets.db seja irrelevante.

De acordo com a Apple, o problema será solucionado em uma atualização futura, mas, por enquanto, você pode se proteger entrando nas configurações do sistema, acessando as configurações da Siri, a opção de Privacidade e Sugestões, a opção de E-mail e então desabilitar a opção que permite que a Siri utilize informações do Apple Mail para as sugestões da assistente. Ao desligar essa opção, o computador não irá mais atualizar o snippets.db, já que esse arquivo é usado apenas para esse propósito de melhorar as sugestões da Siri baseado nas mensagens de e-mail, mas a empresa sugere que, se fizer isso, também procure o arquivo nas pastas do sistema e o delete para garantir que suas mensagens de e-mail estarão protegidas.

A Apple ainda afirma que não há por que os usuários se preocuparem, porque o conteúdo armazenado no banco de dados da Siri não são mensagens inteiras, mas apenas trechos de mensagens de e-mails enviados pelo usuário, e ao ativar o FileVault qualquer possível problema de privacidade está solucionado.

Fonte: The Verge

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.