Siri speichert verschlüsselte E-Mails im Klartext

Eigentlich verschlüsselte Mail mit entfernter Verschlüsselung
Ein Problem ist Siris Verhalten für Behörden, Firmen und Privatpersonen, die ihre Kommunikation schützen wollen. Quelle: Bob Gendler

Der Sprachassistent Siri soll dem Nutzer helfen, indem er beispielsweise auf anstehende Termine hinweist oder neue Kontakte speichert. Wenig hilfreich ist ein anderes Verhalten von Siri, auf das der IT-Spezialist Bob Gendler gestoßen ist: Der Sprachassistent speichert E-Mails, die eigentlich per S/MIME-Ende-zu-Ende-Verschlüsselung geschützt sind, im Klartext ab.

Siri speichert alle E-Mails aus Apple Mail in einer eigenen Datenbank namens “snippets.db”. Laut Gendler werden E-Mails immer unverschlüsselt in der Datei gespeichert – auch wenn sie ursprünglich per S/MIME geschützt waren. Siri speichert die Nachrichten, um daraus Vorschläge für den Nutzer zu generieren. So erkennt die Software beispielsweise Termine, die erwähnt werden und kann diese automatisch in den Kalender des Nutzers übernehmen. Gleiches gilt für neue Kontakte oder unbekannte Telefonnummern.

Wir haben uns Siris Verhalten und die betreffende Datenbank auf Testrechnern angeschaut und festgestellt, dass neue E-Mails erst nach kurzer Verzögerung in der Indexdatei auftauchen. Löscht man eine Nachricht in Apple Mail, verschwindet sie nach kurzer Verzögerung auch wieder aus der Siri-Datenbank. Per PGP verschlüsselte Mail-Inhalte sind nicht betroffen; die Inhalte tauchten während unseres Tests nie unverschlüsselt in der Datenbank auf.

Der Test zeigte eine weitere Problematik: In einer zweiten Datenbank namens “entities.db” sammelt Siri außerdem Kontaktdaten von Personen, mit denen man per E-Mail kommuniziert hat. Und zwar unabhängig davon, ob bei der Kommunikation eine Ende-zu-Ende-Verschlüsselung genutzt wurde: Hier ist auch PGP betroffen. Löscht man alle E-Mails eines Kommunikationspartners, bleiben diese Daten in der Datenbank gespeichert.

Lösung: Siri abschalten, Daten löschen

Die auf der Hand liegende Lösung, Siri abzuschalten, schafft das Problem nicht gänzlich aus der Welt: Geht man auf dem Mac-System in die “Systemeinstellungen → Siri → Siri-Vorschläge & Datenschutz” kann man dort den Punkt “Von dieser App lernen” für Apple Mail deaktivieren. Anschließend werden aber nur keine neuen E-Mails mehr in die Datenbanken übernommen. Die Dateien “snippets.db” und “entities.db” bestehen weiterhin und zuvor gespeicherte E-Mails beziehungsweise Kontaktdaten liegen dort immer noch unverschlüsselt. Erst wenn man die Datenbanken manuell löscht, hat man das Problem beseitigt.

Apple hat sich mit dieser Lücke einen deutlichen Patzer in Sachen Sicherheit geleistet. Um die E-Mails lesen zu können, muss ein Angreifer allerdings Zugriff auf den jeweiligen Mac haben. Entweder muss er also physisch an den entsperrten Rechner kommen oder es muss eine Malware in Form eines Trojaners, Keyloggers oder ähnlichem laufen. Dann hätte der Angreifer allerdings leichtes Spiel und könnte die beiden Datenbanken “snippets.db” und “entities.db” kopieren und die Informationen lesen.

Apps, denen der Nutzer vollen Zugriff auf die Festplatte beziehungsweise SSD gewährt hat, könnten ebenfalls auf die offene Datenbank zugreifen und sie auslesen. Backups mit dem systemeigenen Programm Time Machine schließen die Vorschlagsdatenbank aber aus. Auch mithilfe eines AppleScripts könne man die Datenbank über den Finder lesen. Dafür muss der Nutzer seine Erlaubnis per Mausklick geben. Gendler meint, dass das aber schnell passiere, da die aktuelle Betriebssystemversion macOS Catalina sowieso ständig Erlaubnisdialoge öffne und der Nutzer dadurch unaufmerksam werde.

Generell sollte auf Mac-Rechnern die Festplattenverschlüsselung FileVault aktiv sein. Das ist auf allen Mac-Modellen ab 2018 mit T2-Sicherheitschip automatisch der Fall; auf älteren Macs kann man die Verschlüsselung manuell einschalten (“Systemeinstellungen → Sicherheit → FileVault → FileVault aktivieren”).

Apple reagiert nach 100 Tagen

Entdeckt hat die Lücke der US-Amerikaner Bob Gendler, der für die US-Behörde NIST (National Institute of Standards and Technology) arbeitet. Nach eigenen Angaben meldete er das Problem bereits Ende Juli an Apple. Einen Fix seitens der Firma gibt es aber bis heute nicht. Der Firmen-Support Apples teilte Gendler nach knapp 100 Tagen lediglich mit, dass er die automatische Indexierung in den Einstellungen deaktivieren könne. Erst jetzt – auf Nachfrage der Nachrichtenseite The Verge – bestätigte Apple, dass eines der kommenden macOS-Patches die Sicherheitslücke schließen wird. Genaue Infos gibt es aber noch nicht. (hcz)