Un nueva vulnerabilidad en la app Mail de macOS podría permitir que terceros lean partes de un coreo electrónico aunque esté cifrado. Este error fue reportado a Apple hace unos meses, sin embargo, parece ser que de momento han decidido no solucionarlo, a pesar de las diferentes actualizaciones de macOS que han sido publicadas estos últimos meses. Precisamente Mail es una de las apps que no ha estado exenta de problemas con macOS Catalina.
La vulnerabilidad fue descubierta por Bob Gendler, un experto en seguridad que reportó el problema el pasado 29 de julio a Apple. Es un problema que afecta a macOS Mojave y a macOS Catalina. También a las versiones concretas de macOS 10.12.6 y macOS 10.13.6 según informó Bob Gendler.
Sin embargo, no tienen por qué saltar todas las alarmas. Se deben dar una serie de condiciones para que el hack se pueda realizar. La vulnerabilidad sólo afecta a aquellos que usen las versiones anteriormente mencionadas de macOS, que usen Apple Mail, que envíen correos cifrados y que no tengan FileVault activado en el Mac. Si se dan estas condiciones, es posible recuperar partes de correos cifrados enviados si se accede al disco del Mac.
Una posible solución hasta que la vulnerabilidad sea corregida
Bob Gendler envió varios correos a Apple para informar del problema. La insistencia fue tanta que finalmente envió un correo a Tim Cook según indica. Fue entonces cuando recibió respuesta de Apple explicándole que puede evitar esto desactivando las sugerencias de Siri. ¿Por qué? Porque se puede acceder a estos correos gracias a que se almacenan en las sugerencias de Siri. Para desactivarlas debes ir a Preferencias del Sistema > Siri > Sugerencias de Siri y Privacidad > Mail.
Independientemente de eso, es curioso que más de tres meses después la vulnerabilidad no se haya corregido y Siri siga teniendo acceso a los correos cifrados para sugerirlos. Veremos si en las próximas versiones de macOS Catalina el problema queda resuelto. Apple informó a The Verge que están trabajando para corregir el problema. Por muy pocas personas que se vean afectadas, sigue siendo un problema de seguridad.
Más información | Bob Gendler y The Verge
Ver 9 comentarios