Обещание Apple в области конфиденциальности нарушено

8

Прошел целый год. Apple до сих пор не закрыла брешь в своем флагманском инструменте конфиденциальности. Или, вернее, компания признает, что знает о ее существовании, но дверь до сих пор не закрыта.

Функция «Hide My Email» (Скрыть мою почту) задумывалась как щит. Она создает уникальный псевдоним iCloud, который можно использовать вместо реального адреса при регистрации на подозрительных сайтах или в спам-ловушках. Ваш настоящий адрес остается в безопасности за занавесом, обеспечивая чистый слой анонимности для вашей цифровой жизни.

Но теперь занавес отодвинут. Компания EasyOptOuts, специализирующаяся на защите онлайн-конфиденциальности, выяснила, что любой желающий может заглянуть за него. Злоумышленники могут найти реальный адрес электронной почты, привязанный к поддельному псевдониму iCloud. Достаточно просто спросить.

«Функция Hide My Email от Apple утекает адреса, которые должны быть скрыты».
— Тайлер Мерфи, сооснователь EasyOptOuts

Они сообщили Apple об этой проблеме более года назад. Согласно предоставленной хронологии, это случилось в июне 2024 года. Apple заявила, что занимается устранением проблемы. Мерфи ждал. Уязвимость так и не была устранена. Тогда он передал доказательства команде 404 Media. Независимое подтверждение не заставило себя ждать. Эксплойт работает. 404 Media не стала раскрывать конкретный технический метод атаки — они достаточно ответственные, чтобы не публиковать такие детали. Однако решение оставить уязвимость активной кажется рискованным шагом. Зачем играть в эту авантюру?

Тестирование было предельно простым. Добровольцы использовали свои псевдонимы. Все они без исключения были раскрыты. Злоумышленники демонстрировали стопроцентную эффективность. Это не просто баг. Это провал в дизайне системы, который давно должен был быть устранен.

Ситуация становится еще хуже, если вы используете этот сервис по серьезным причинам. Возможно, вы ненавидите получать маркетинговые рассылки на личный ящик. Возможно, вы регистрируетесь на сайтах, но не хотите, чтобы они отслеживали вас через основной адрес. Пользователи iCloud+ платят за это удобство. Теперь же им приходится расплачиваться собственной бдительностью.

В июне прошлого года TechCrunch сообщила, что Apple планировала и так сменить домены. Псевдонимы должны были перейти на домен private.icloud.com. Текущий домен icloud.com используется обычными пользователями, из-за чего псевдонимы выглядят как настоящие адреса. Новый домен будет явно указывать на маску конфиденциальности. Это означает, что сайты смогут просто блокировать такие адреса. Функция станет мгновенно бесполезной для тех пользователей, которым она действительно нужна.

Вот в каком положении мы находимся. Маска спадает. Смена домена угрожает сделать функцию нерелевантной. Apple заявляет, что расследование продолжилось вплоть до мая. Но это уже устаревшая новость.

На данный момент пользователи предоставлены самим себе. Возможно, стоит проверить другие инструменты конфиденциальности. Возможно, стоит исходить из того, что адрес электронной почты не в безопасности. Apple говорит, что работает над исправлением. Мы слышали это раньше.

Утечка реальна. Исправление отдаленно. Доверие тихо размывается.

Попередня статтяТвой Wi-Fi зовет
Наступна статтяИИ-неделя в Персидском заливе: 3D-города и неконтролируемый код