Minął cały rok. Apple nadal nie naprawił luki w swoim flagowym narzędziu do ochrony prywatności. A raczej firma przyznaje, że wie o jej istnieniu, ale drzwi nadal nie są zamknięte.
Funkcja Ukryj mój e-mail została zaprojektowana jako tarcza. Tworzy unikalny alias iCloud, którego można używać zamiast prawdziwego adresu podczas rejestracji na podejrzanych stronach lub pułapkach spamowych. Twój prawdziwy adres pozostaje bezpieczny za kurtyną, zapewniając czystą warstwę anonimowości dla Twojego cyfrowego życia.
Ale teraz kurtyna została odsunięta. Firma zajmująca się ochroną prywatności w Internecie EasyOptOuts odkryła, że każdy może się temu przyjrzeć. Atakujący mogą znaleźć prawdziwy adres e-mail powiązany z fałszywym aliasem iCloud. Wystarczy zapytać.
„Funkcja Apple Hide My Email powoduje wyciek adresów, które powinny być ukryte.”
– Tyler Murphy, współzałożyciel EasyOptOuts
Zgłosili ten problem firmie Apple ponad rok temu. Według podanej chronologii miało to miejsce w czerwcu 2024 r. Apple oświadczyło, że bada problem. Murphy czekał. Luka nigdy nie została naprawiona. Następnie przekazał materiał dowodowy zespołowi 404 Media. Na niezależne potwierdzenie nie trzeba było długo czekać. Exploit działa. 404 Media nie ujawniły konkretnej technicznej metody ataku – są na tyle odpowiedzialne, że nie publikują takich szczegółów. Decyzja o pozostawieniu luki aktywnej wydaje się jednak ryzykownym posunięciem. Po co grać w tę grę?
Testowanie było niezwykle proste. Wolontariusze posługiwali się pseudonimami. Wszystkie bez wyjątku zostały ujawnione. Napastnicy wykazali się stuprocentową skutecznością. To nie jest tylko błąd. Jest to błąd w projekcie systemu, który powinien zostać naprawiony dawno temu.
Sytuacja staje się jeszcze gorsza, jeśli korzystasz z tej usługi z ważnych powodów. Być może nie lubisz otrzymywać e-maili marketingowych na swoją osobistą skrzynkę odbiorczą. Być może rejestrujesz się w witrynach, ale nie chcesz, aby śledziły Cię za pomocą Twojego głównego adresu. Użytkownicy iCloud+ płacą za tę wygodę. Teraz muszą płacić za swoją czujność.
W czerwcu ubiegłego roku TechCrunch poinformował, że Apple i tak planuje zmianę domeny. Aliasy powinny zostać przeniesione do domeny private.icloud.com. Obecna domena icloud.com jest używana przez zwykłych użytkowników, co sprawia, że aliasy wyglądają jak prawdziwe adresy. Nowa domena będzie wyraźnie wskazywać maskę prywatności. Oznacza to, że witryny będą mogły po prostu blokować takie adresy. Ta funkcja stanie się natychmiast bezużyteczna dla tych użytkowników, którzy naprawdę jej potrzebują.
W takiej sytuacji się znaleźliśmy. Maska opada. Zmiana domeny grozi tym, że funkcja stanie się nieistotna. Apple twierdzi, że dochodzenie trwało do maja. Ale to już nieaktualna wiadomość.
W tej chwili użytkownicy są pozostawieni samym sobie. Warto sprawdzić inne narzędzia do ochrony prywatności. Dobrym pomysłem może być założenie, że adres e-mail nie jest bezpieczny. Apple twierdzi, że pracuje nad rozwiązaniem. Słyszeliśmy to już wcześniej.
Wyciek jest prawdziwy. Korekta jest odległa. Zaufanie po cichu ulega erozji.
