Het is een jaar geleden. Apple heeft nog steeds geen gat in hun vlaggenschip-privacyfunctie opgelost. Of beter gezegd, het geeft toe ervan op de hoogte te zijn. Ze hebben de deur echter niet gesloten.
“Verberg mijn e-mail” zou een schild moeten zijn. Het geeft je een unieke iCloud-alias waarmee je spamtraps en vage aanmeldingen kunt aanpakken. Je echte adres blijft veilig achter het gordijn. Een schone laag van anonimiteit voor uw digitale leven.
Het gordijn wordt teruggetrokken. EasyOptOuts, een online privacybedrijf, ontdekte dat iedereen erachter kan kijken. Ze kunnen het daadwerkelijke e-mailadres vinden dat aan dat nep-iCloud-adres is gekoppeld. Gewoon door te vragen.
“Apple Hide My Email lekt adressen die verborgen zouden moeten zijn.”
— Tyler Murphy, medeoprichter van EasyOptOuts
Ze vertelden het Apple meer dan een jaar geleden. Juni 2024, als we de tijdlijn hier vertrouwen. Apple zei dat ze het in behandeling hadden. Murphy wachtte. Het gebrek bleef. Dus ging hij met het bewijs naar 404 Media. Onafhankelijke bevestiging volgde. De exploit werkt. 404 Media willen de specifieke technische methode niet delen – ze zijn op die manier verantwoordelijk – het voorlopig live laten is een keuze die riskant aanvoelt. Waarom die gok wagen?
Het testen was bot. Vrijwilligers gebruikten hun aliassen. Iedereen werd blootgesteld. Honderd procent succespercentage voor aanvallers. Dat is geen bug. Dat is een ontwerpfout die in het hout is blijven rotten.
Het wordt nog erger als u deze service om ernstige redenen gebruikt. Misschien haat u het om marketingnieuwsbrieven in uw persoonlijke inbox te ontvangen. Misschien meldt u zich aan voor sites, maar wilt u niet dat ze u volgen via uw primaire adres. iCloud+-gebruikers betaalden voor dit gemak. Nu moeten ze boeten met hun waakzaamheid.
TechCrunch meldde afgelopen juni dat Apple sowieso van plan was domeinen te shuffelen. Deze aliassen verplaatsen naar ‘private.icloud.com’. Het huidige ‘icloud.com’-domein wordt gedeeld met gewone gebruikers, waardoor de alias er echt uitziet. Het nieuwe domein zou privacymasker schreeuwen. Dat betekent dat websites ze gewoon kunnen blokkeren. Onmiddellijke nutteloosheid voor gebruikers die de functie daadwerkelijk nodig hebben.
Dus hier zitten we. Het masker glijdt af. De domeinwijzigingen dreigen de functie irrelevant te maken. Het onderzoek naar Apple-claims gaat door tot en met mei. Dat is inmiddels oud nieuws.
Gebruikers staan er voorlopig alleen voor. Kijk misschien eens naar die andere privacytools. Ga er misschien van uit dat de e-mail niet veilig is. Apple zegt dat ze eraan werken. Dat hebben we eerder gehoord.
Het lek is reëel. De oplossing is ver weg. Het vertrouwen erodeert stilletjes.
