Bob Gendler, een beveiligingsonderzoeker, ontdekte eind juli een beveiligingslek in Apple Mail. E-mails die versleuteld verzonden worden, komen daardoor onversleuteld in de interne opslag terecht. Apple zegt op de hoogte te zijn van het lek en zegt dat het in een volgende software-update gedicht zal worden. Het is echter nog niet duidelijk wanneer deze update uit zal komen, terwijl het lek al maanden geleden gemeld werd.
Gendler ontdekte dat op de interne opslag van een MacOS-apparaat databasebestanden staan die door Siri gebruikt worden om de gebruiker relevante aanbevelingen te kunnen doen. Daarbij wordt ook gekeken naar de inhoud van e-mails. In het databasebestand snippets.db, vond hij onversleutelde inhoud van e-mails die versleuteld verzonden zijn via Apple Mail. Volgens Gendler worden mails hierin ook opgeslagen als Siri uitstaat. In de privacy-instellingen van Siri kan het opslaan van e-mails wel handmatig uitgezet worden.
Door gebruik te maken van het lek zou een hacker toegang kunnen krijgen tot de inhoud van versleutelde mails. Het risico dat hier daadwerkelijk gebruik van wordt gemaakt, wordt ingeschat als zeer laag. Het gaat namelijk alleen om e-mails die verzonden zijn met Apple Mail en die niet op een andere manier versleuteld zijn. Daarnaast zou een hacker de databasebestanden nog toegankelijk moeten maken om de inhoud te kunnen inzien.
Dit nieuwsbericht is ook te vinden in het dossier Informatiebeveiliging
