Μετάβαση στο περιεχόμενο


Φωτογραφία
* - - - - 2 ψήφοι

Apple Mail: Τα κρυπτογραφημένα mail δεν είναι κρυπτογραφημένα


  • Παρακαλούμε συνδεθείτε για να απαντήσετε
10 μηνύματα σε αυτό το θέμα

#1   IIIuvatar1981

IIIuvatar1981

    iPH Contributor

  • 1.202 μηνύματα
  • Φύλο: Άντρας
  • Κινητό: Άλλο
  • Tablet:Άλλο

Δημοσίευση 11/11/2019 - 13:59

Μπορείτε να διαβάσετε το άρθρο εδώ στα Ελληνικά και εδώ στο The Verge.

 

Αναλύοντας λίγο την κατάσταση, στην δική μου περίπτωση είναι πλήρως εκτεθειμένα 42 mail.  <_<

 

Ένα δείγμα:

 

Συνημμένο αρχείο  Screen Shot 2019-11-11 at 13.50.28.png   289,6KB   49 λήψεις

 

Να σημειώσουμε ότι ο Bob Gendler είναι ειδικός της Apple. Παρόλο που ενημέρωσε την Apple, η Apple στα @@ της!!!  :lol:

 

Ο καθένας ας βγάλει τα συμπεράσματά του.



Ad

Ad

Team
iPhoneHellas
3,1416 μηνύματα
Twitter: @android
Φύλο: Όπως το δει κανείς
Κινητό: Android
Tablet: Για τα κουνούπια

Γιατί να γίνετε μέλη;

#2   meres

meres

    iPH Enthousiast

  • 459 μηνύματα
  • Φύλο: Άντρας

Δημοσίευση 11/11/2019 - 14:18

Στέλνει η Εθνική encrypted emails?

Δηλαδή στη μεταξύ σας επικοινωνία έχετε ανταλλάξει public keys και σου έχει στείλει signed email με S/MIME ?



#3   IIIuvatar1981

IIIuvatar1981

    iPH Contributor

  • 1.202 μηνύματα
  • Φύλο: Άντρας
  • Κινητό: Άλλο
  • Tablet:Άλλο

Δημοσίευση 11/11/2019 - 14:24

Στέλνει η Εθνική encrypted emails?

Δηλαδή στη μεταξύ σας επικοινωνία έχετε ανταλλάξει public keys και σου έχει στείλει signed email με S/MIME ?

Παράδειγμα σου δείχνω αδερφέ. Άσε τι κάνω εγώ.



#4   meres

meres

    iPH Enthousiast

  • 459 μηνύματα
  • Φύλο: Άντρας

Δημοσίευση 11/11/2019 - 14:34

Αν δεν είναι έτσι, είναι ατυχές το παράδειγμα... αδερφέ...

 

Τα mail που στέλνει σε μένα τουλάχιστον η Εθνική, και φαντάζομαι στους περισσότερους είναι plain text.

Το ίδιο ισχύει και για το μεγαλύτερο ποσοστό της ηλεκτρονικής αλληλογραφίας.



#5   IIIuvatar1981

IIIuvatar1981

    iPH Contributor

  • 1.202 μηνύματα
  • Φύλο: Άντρας
  • Κινητό: Άλλο
  • Tablet:Άλλο

Δημοσίευση 11/11/2019 - 14:51

Αν δεν είναι έτσι, είναι ατυχές το παράδειγμα... αδερφέ...

 

Τα mail που στέλνει σε μένα τουλάχιστον η Εθνική, και φαντάζομαι στους περισσότερους είναι plain text.

Το ίδιο ισχύει και για το μεγαλύτερο ποσοστό της ηλεκτρονικής αλληλογραφίας.

Εσύ τώρα κόλλησες στην Εθνική και στο τι κάνω εγώ ή στον τρόπο που γίνεται η συλλογή πληροφοριών μέσα στο αρχείο snippets.db και από το οποίο εκτείθενται τα κρυπτογραφημένα μηνύματα; Γιατί αυτό είναι το θέμα.

Εγώ σου λέω και πάλι πως σου δείχνω ότι μέσα σε αυτή τη βάση δεδομένων έχει συλλέξει και από τους 4 λογαριασμούς που έχω 42 mail, έτσι όπως είναι ολόκληρα.

Φυσικά δεν έχω μόνο 42.

Μέσα λοιπόν σε αυτή τη βάση δεδομένων ακόμα και κρυπτογραφημένα mail να έχει λοιπόν κάποιος, ένα κομμάτι τους εκτείθεται σε plain text. Αυτό βρήκε ο Bob Gendler.

Τώρα κατάλαβες τι εννοώ ή θέλεις ακόμα μεγαλύτερη ανάλυση;

Καθόλου ατυχές δεν είναι λοιπόν το παράδειγμά μου.



#6   meres

meres

    iPH Enthousiast

  • 459 μηνύματα
  • Φύλο: Άντρας

Δημοσίευση 11/11/2019 - 15:24

Πραγματικά δε καταλαβαίνω το επιθετικό ύφος του τύπου "άσε τι κάνω εγώ", "θέλεις ακόμα μεγαλύτερη ανάλυση;", κλπ.
Όχι, δε με ενδιαφέρει τι κάνεις εσύ, βασίστηκα στο παράδειγμα σου, της Εθνικής συγκεκριμένα, γιατί θα με ενδιέφερε και μένα να έχω τη δυνατότητα να ανταλλάξω κρυπτογραφημένα mail με την τράπεζα αλλά δε φαίνεται να έχεις διάθεση να το μοιραστείς.
 
Το παράδειγμα είναι ατυχές γιατί δεν περιλαμβάνει encrypted email. Είναι σημαντικό να καταλάβουν οι χρήστες τι ακριβώς αφορά το vulnerability.
Αντιθέτως, το άρθρο από το theverge.com που πολύ σωστά παραθέτεις στο αρχικό σου post, περιλαμβάνει παράδειγμα με encrypted (και εκτεθειμένο) email.


#7   IIIuvatar1981

IIIuvatar1981

    iPH Contributor

  • 1.202 μηνύματα
  • Φύλο: Άντρας
  • Κινητό: Άλλο
  • Tablet:Άλλο

Δημοσίευση 11/11/2019 - 15:55

 

Πραγματικά δε καταλαβαίνω το επιθετικό ύφος του τύπου "άσε τι κάνω εγώ", "θέλεις ακόμα μεγαλύτερη ανάλυση;", κλπ.
Όχι, δε με ενδιαφέρει τι κάνεις εσύ, βασίστηκα στο παράδειγμα σου, της Εθνικής συγκεκριμένα, γιατί θα με ενδιέφερε και μένα να έχω τη δυνατότητα να ανταλλάξω κρυπτογραφημένα mail με την τράπεζα αλλά δε φαίνεται να έχεις διάθεση να το μοιραστείς.
 
Το παράδειγμα είναι ατυχές γιατί δεν περιλαμβάνει encrypted email. Είναι σημαντικό να καταλάβουν οι χρήστες τι ακριβώς αφορά το vulnerability.
Αντιθέτως, το άρθρο από το theverge.com που πολύ σωστά παραθέτεις στο αρχικό σου post, περιλαμβάνει παράδειγμα με encrypted (και εκτεθειμένο) email.

 

Δεν έχω επιθετικό ύφος φίλε μου. Θέλω να σου πω ότι το θέμα δεν είμαι εγώ και το τι κάνω εγώ στη συγκεκριμένη περίπτωση. Εγώ δεν έχω κρυπτογραφημένα μηνύματα. Γι΄ αυτό και έβαλα τα links φυσικά.

Εμένα, μου κάνει λοιπόν εντύπωση το συγκεκριμένο αρχείο (snippets.db) και οι πληροφορίες που συγκεντρώνεται εκεί. Είναι κάτι που εγώ δεν τον ήξερα (*). Πιστεύω και πολλοί άλλοι. Σε άλλα mail βλέπω ότι υπάρχει εκεί μέσα ολόκληρο το κείμενο και σε άλλα απλά (μεγάλα) αποσπάσματα.

Στο παράδειγμά μου λοιπόν, απλά δείχνω το τι γίνεται μέσα σε αυτό το αρχείο. Τι μπορεί να βρει κανείς. Εάν είχα κρυπτογραφημένα mail θα είχα πολλούς λόγους για να ανησυχώ.

Όπως πολύ σωστά είπες μέσα στο άρθρο από το The Verge υπάρχει το σχετικό screen shot που δείχνει τι ακριβώς γίνεται σε ένα κρυπτογραφημένo αυτή τη φορά mail.

Μακάρι να είχα τρόπο να αναπαράγω και να δω φυσικά και πιο αναλυτικά τι γίνεται με ένα κρυπτογραφημένο mail. Αλλά δυστυχώς.

Δεν ξέρω εάν κατάλαβες τι ήθελα να δείξω με το παράδειγμά μου λοιπόν, γι' αυτό σε ρώτησα εάν κατάλαβες ή θέλεις να το αναλύσω κι άλλο.

Εφόσον θα σε ενδιέφερε η δυνατότητα ανταλλαγής κρυπτογραφημένων mail με την τράπεζά σου, θα σου έλεγα να περιμένεις μέχρι να βγει κάποιο σχετικό patch από την Apple πρώτα.

 

Ξαναλέω λοιπόν ότι το παράδειγμά μου δεν ήταν ατυχές γιατί εγώ επικεντρώθηκα μόνο στη συλλογή πληροφοριών που γίνεται μέσα στο αρχείο snippets.db. Για τα υπόλοιπα έβαλα link.

Το πρόβλημα λοιπόν φίλε meres είναι η εφαρμογή Apple Mail που αφήνει ένα μέρος των κρυπτογραφημένων mail σε απλό κείμενο.

 

(*) Σύμφωνα με τον Gendler, ο Siri χρησιμοποιεί μια διαδικασία που ονομάζεται «suggestd», η οποία του επιτρέπει να συλλέγει πληροφορίες από διάφορες εφαρμογές. Οι πληροφορίες, που συλλέγει, αποθηκεύονται στο αρχείο snippets.db.



#8   conili

conili

    iPH Enthousiast

  • 503 μηνύματα
  • Φύλο: Δ/Α
  • Κινητό: iPhone X
  • Tablet:iPad 4

Δημοσίευση 11/11/2019 - 16:05

Λοιπόν κατάφερα να εντοπίσω κάτι αντίστοιχο... Άνοιξα ένα κρυπτογραφημένο email με τα keys κλπ και η Αλίκη που λίγο πριν πήγα και έκατσα δίπλα της είχε οπτικό πεδίο στην οθόνη του iphone με αποτέλεσμα να διαβάζει ότι διάβαζα κι εγώ.

Είμαι ο Μπομπ

 

*όπου Αλίκη βάλε Siri, όπου έκατσα δίπλα βάλε απολαμβάνω siri suggestions, όπου Μπομπ βάλε τον χ,ψ χρήστη που έχει το ίδιο email για κρυπτογραφημένα και μη email σε μια συσκευή που δεν προορίζεται για μόνο κρυπτογραφημένη επικοινωνία



#9   conili

conili

    iPH Enthousiast

  • 503 μηνύματα
  • Φύλο: Δ/Α
  • Κινητό: iPhone X
  • Tablet:iPad 4

Δημοσίευση 11/11/2019 - 16:18

Πέρα από την πλάκα το θέμα είναι σοβαρό. Καλό είναι να θυμόμαστε όμως ότι όσο αυξάνεται η ευκολία και η χρηστικότητα μειώνεται η ιδιωτικότητα και η προστασία. Όταν γράφεις σε μια "ασφαλή" εφαρμογή και το πληκτρολόγιο στέλνει feedback στην εκάστοτε εταιρεία για να βελτιώσει τις προτάσεις λέξεων δεν υπάρχει ασφάλεια,

 

Όταν τρέχεις εφαρμογές όπως το Tor browser και έχεις πράγματα όπως dark themes, adblockers και άλλες λειτουργίες που προσαρμόζονται από το λειτουργικό δεν υπάρχει ασφάλεια. Πλέον δεν είναι τίποτα ασφαλές

 

Για τα iphone ο snowden εξηγεί πως από τη στιγμή που η μπαταρία δεν είναι αποσπώμενη, τίποτα δεν απενεργοποιείται οριστικά
youtube] https://www.youtube....h?v=VFns39RXPrU [/youtube]

 

Η ασφάλεια τελειώνει εκεί που αρχίζει η αλληλεπίδραση με το χρήστη. Συστάσεις για ασφάλεια στο διαδίκτυο:

https://www.privacyt...software/email/

 

οι παράνομοι του dark web χρησιμοποιούν λειτουργικά στημένα εξαρχής για encryption

https://tails.boum.o...r/index.en.html

 

Η apple κατά το setup έχει μια οθόνη μετά το βήμα 8 που έχει να κάνει με άδεια να "ακούει". Φυσικά δεν αναφέρεται στο επίσημο manual

 

Συνημμένα αρχεία


Τελευταία επεξεργασία από: conili, 11/11/2019 - 16:22


#10   conili

conili

    iPH Enthousiast

  • 503 μηνύματα
  • Φύλο: Δ/Α
  • Κινητό: iPhone X
  • Tablet:iPad 4

Δημοσίευση 11/11/2019 - 16:31

Ένα παράδειγμα είναι η επιλογή πλέον με με την έκδοση 13.2 https://www.macrumor...-audio-sharing/

που φυσικά δεν αναφέρεται ως feature μόνο στα full release notes γιατί η Apple ξέρει καλύτερα για σένα από ότι εσύ


Τελευταία επεξεργασία από: conili, 11/11/2019 - 16:33


#11   IIIuvatar1981

IIIuvatar1981

    iPH Contributor

  • 1.202 μηνύματα
  • Φύλο: Άντρας
  • Κινητό: Άλλο
  • Tablet:Άλλο

Δημοσίευση 11/11/2019 - 17:58

Φίλε conili, σίγουρα δεν υπάρχει καμία ασφάλεια στο διαδίκτυο. Εγώ συμφωνώ.

Πολλές φορές μπορεί σαν σκέψη όλους να μας τρομάζει, αλλά οι ανάγκες της σύγχρονης εποχής απαιτούν κάποια πράγματα να γίνονται μέσω του Internet. Δυστυχώς.

Κατά την άποψή μου πιο τρομάκτικό είναι κάτι όταν το βλέπεις με τα μάτια σου ή όταν κάτι το βιώνεις.

Ναι, μας παρακολουθούν, ναι τίποτα δεν είναι κρυφό αλλά όταν δεν γνωρίζουμε το πως ακριβώς (τον μηχανισμό δηλαδή) το παίρνουμε και λίγο πιο "χαλαρά".

Εδώ μιλάμε για σημαντικό κενό ασφαλείας.

 

Εγώ εντυπωσιάστηκα με τον συγκεκριμένο αρχείο. Το να μαζεύονται σε μια database αποσπάσματα από προσωπικά μου δεδομένα (επιλεκτικά; δεν ξέρω πως ακριβώς) δεν μου αρέσει καθόλου σαν ιδέα. Με ενοχλεί. Αυτό δεν σημαίνει ότι θα κλείσω το Mac και δεν θα το ξανα ανοίξω ποτέ.






Χρήστες που διαβάζουν αυτό το θέμα: 0

0 μέλη, 0 επισκέπτες, 0 ανώνυμοι χρήστες