Fix für Siri-Verschlüsselungsproblem in Arbeit

Apple hat angekündigt, ein Sicherheitsproblem im Zusammenhang mit seiner Sprachassistentin Siri in einem "künftigen Softwareupdate" zu beheben – nachdem zuvor ein IT-Spezialist seit Ende Juli vergeblich versucht hatte, den Konzern zum Handeln zu bewegen. Das Problem steckt in macOS bis hin zur jüngsten Version 10.15 alias Catalina.

Nicht vorhandener Schlüssel ist egal

Nachrichten aus Apples hauseigener Mail-Anwendung landen laut dem Developer Bob Gendler ungefragt in einer Datenbank, mit der Siri versucht, Vorschläge etwa für neue Kontakte oder Termine zu unterbreiten. Dabei ist es macOS egal, ob es sich um verschlüsselte Mails handelt oder nicht – die Informationen werden stur gespeichert. Die "snippets.db" genannte Datei ist nicht besonders abgesichert, weshalb Angreifer mit Zugriff auf den Rechner über die Siri-Datenbank ohne den zur S/MIME-Entschlüsselung erforderlichen privaten Schlüssel geschützte Nachrichten einsehen könnten.

Einen Fix wollte Apple zunächst nicht anbieten, stattdessen hatte der Enterprise-Support Gendler nach drei Monaten den Vorschlag gemacht, er solle die Indexierung der Mails doch durch die Siri-Einstellungen abdrehen. Allerdings werden dadurch keine alten Mails gelöscht. Die Funktion ist zudem auch aktiv, wenn man Siri gar nicht nutzt, sie muss explizit abgedreht werden. Sie lässt sich in den Systemeinstellungen für Siri unter "Siri-Vorschläge & Datenschutz" deaktivieren, wenn man "Von dieser App lernen" für Apple Mail abschaltet.

Verschlüsselung als Workaround

Als Workaround ist derzeit möglich, die Verschlüsselung FileVault einzusetzen, um zu verhindern, dass Menschen, die den Rechner in die Hände bekommen, Zugriff erhalten. Auf neueren Macs mit T2-Sicherheitschip ist die SSD automatisch verschlüsselt.

Apple teilte am Freitag gegenüber dem IT-Blog The Verge mit, man sei sich des Problems bewusst und werde es mit einer Aktualisierung adressieren. Der Konzern betonte, die Datenbank speichere sowieso nur "Teile" von Mails.

(bsc)