Mail-Fehler in macOS erlaubte Mitlesen verschlüsselter Nachrichten
In macOS 10.15.3 hat Apple endlich einen Bug gefixt, der geschützte E-Mails offenlegte. Schuld war die Sprachassistentin Siri.
(Bild: Bob Gendler)
Schon seit November ist öffentlich bekannt, dass es in Catalina eine Sicherheitslücke gibt, über die lokale Angreifer Teile eigentlich verschlüsselter elektronischer Post abgreifen konnten. Apple hat sich allerdings bis zum Erscheinen von macOS 10.15.3 Ende Januar Zeit genommen, das Problem zu beheben. Das berichtet der IT-Spezialist Bob Gendler, der das Problem entdeckt und bereits im Juli 2019 an Apple gemeldet hatte. Der Konzern hatte zunächst nicht mit einem Fix reagiert; Gendler ging dann im Herbst an die Öffentlichkeit.
Siri speichert munter
Offiziell im Beipackzettel der neuen macOS-Version erwähnt ist der Fix jedoch nicht, doch laut Gendler gab es Hinweise in früheren Betas. Verschlüsselte E-Mails sollen nun nicht mehr in Spotlight-Suchen auftauchen, was den Fehler unmöglich machen dürfte. Um Vorschläge unterbreiten zu können, hatte Apples Sprachassistentin Siri auch verschlüsselte S/MIME-E-Mails aus Apple Mail zuvor in einer eigenen Datenbank namens "snippets.db" gesichert – genauso wie den regulären Nachrichtenverkehr. Selbst bei Deaktivierung von Siri unter macOS wurden die Daten weiter gesammelt.
Kopien von Mails ließen sich so über die Siri-Datenbank ohne den zur S/MIME-Entschlüsselung erforderlichen privaten Schlüssel einsehen. Das Problem bestehe mindestens in macOS 10.12 bis hin zur aktuellen Version 10.15 Catalina, teilte Gendler damals mit. Es ist unklar, ob der Fix auch in macOS 10.13 (High Sierra) und 10.14 (Mojave) mitgeliefert wird – für beide gibt es Sicherheitsupdates. macOS 10.12 (Sierra) pflegt der Konzern offiziell nicht mehr. In einer weiteren Datenbank entities.db speichere Siri außerdem Namen, E-Mail-Adressen und Telefonnummern von Personen, mit denen man korrespondiert habe, so Gendler im November.
FileVault schützte
Mit macOS 10.15.3 sollte das Problem nun nicht mehr auftreten. Gendler zufolge hat ihn auch schon Apples Enterprise-Support-Abteilung kontaktiert, um ihm von dem Fix zu berichten. Über eine konkrete Ausnutzung der Lücke gibt es keine Berichte. Potenzielle Opfer musste macOS und Apple Mail verwenden, mit S/MIME verschlüsselte Nachrichten versenden und ihren Rechner nicht mit dem Systemverschlüsselungsverfahren FileVault abgesichert haben. Der Angreifer musste zudem Zugriff auf das lokale System haben – inklusive der Systemdateien, die Siri nutzt. (bsc)
