11月9日消息，据国外媒体报道，苹果声誉很大程度上取决于其如何保护用户的隐私，其也希望成为用户唯一信任的科技公司。但是，如果用户从苹果邮件应用程序发送加密邮件，目前有一种方法可以从macOS系统中读取这些邮件中的某些文本，就好像它们没有加密一样。据说，苹果几个月前就知道这个漏洞，但没有提供任何修复。

需要指出的是，这一漏洞只会影响到少部分用户。只有通过苹果邮件发送加密邮件，没有使用FileVault加密整个系统的用户，而且确切知道在苹果系统文件中查找相关信息才会发现到这一漏洞。

苹果表示，其已经意识到了这个问题，并表示将在未来的软件更新中解决这个问题。该公司还表示，服务器只是存储了部分电子邮件内容。但事实是，苹果仍然会以某种方式将部分用户明确的加密邮件公开，这显然会造成不好的影响。

专注于研究苹果的IT专家鲍勃·金德勒(Bob Gendler)周三在一个媒体博客上分享了这一漏洞。金德勒说，在试图弄清楚macOS和Siri如何向用户推荐信息时，他发现macOS数据库文件存储了来自用户电子邮件和其他应用程序的信息，然后Siri会利用这些信息向用户推荐更匹配的信息。这本身并不太令人震惊，苹果需要参考和学习用户的一些信息，提供更好的Siri建议。

但金德勒发现了其中一个名为snippets.db的数据库文件以未加密文本的方式存储了本应加密的用户电子邮件。

从下图中可看出，左边的圆圈中是一封加密的电子邮件，金德勒在删除私钥的情况下无法读取邮件内容。但是在右边的圆圈中，金德勒可以在snippes .db中辨认出加密邮件的文本内容。

金德勒说他测试了最近发布的四版macOS系统，分别是Catalina, Mojave, High Sierra和Sierra，发现都可以读取snippes .db上的加密邮件。现在，不少用户都能够确认snippes .db的存在，也发现其存储了用户通过苹果邮件发来的部分加密。

金德勒在7月29日第一次向苹果公司报告了这个问题，他说直到11月5日，也就是99天后，公司才给他提供了一个临时的解决方案，期间他们与苹果公司就这个问题进行了多次对话。尽管苹果已经更新了macOS的四个版本，其中Gendler在报告后的几个月里仍然能够发现这一漏洞，这些更新都没有包含真正的修复。

如果用户想阻止苹果系统将电子邮件内容收集存储到snippets.db中，苹果表示可以通过点击进入系统设置> Siri > Siri建议&隐私>邮件，然后切换 “从这个程序中学习”。金德勒说，苹果所提供的这种临时解决方案只会阻止新邮件被添加到snippets.db中。如果用户想确保可能存储在snippes .db中的旧电子邮件内容不会再被扫描，你可能需要删除该文件。

苹果公司表示，如果用户想避免这些未加密的片段被其他应用程序读取，可以限制macOS Catalina操作系统为应用程序提供完整的磁盘访问权限。苹果还表示，如果你想要更加安全，那么打开加密措施FileVault可以加密Mac上的所有内容。

同样，这种脆弱性可能不会影响那么多用户。但如果用户认为苹果邮件内容是完全加密的，那就错了。正如金德勒所说，“它提出了这样一个问题:在用户没有意识到的情况下，还有哪些内容会被跟踪并可能以不恰当的方式存储。”(辰辰)

关键词： 苹果邮件 加密不完全