Минув цілий рік. Apple досі не закрила пролом у своєму флагманському інструменті конфіденційності. Або, вірніше, компанія визнає, що знає про її існування, але двері досі не зачинені.
Функція “Hide My Email” (Приховати мою пошту) замислювалася як щит. Вона створює унікальний псевдонім iCloud, який можна використовувати замість реальної адреси при реєстрації на підозрілих сайтах або спам-пастках. Ваша справжня адреса залишається в безпеці за завісою, забезпечуючи чистий шар анонімності для вашого цифрового життя.
Але тепер завісу відсунуто. Компанія EasyOptOuts, що спеціалізується на захисті онлайн-конфіденційності, з’ясувала, що будь-хто може заглянути за нього. Зловмисники можуть знайти реальну адресу електронної пошти, прив’язану до підробленого псевдоніму iCloud. Досить просто спитати.
«Функція Hide My Email від Apple витікає адреси, які мають бути приховані».
– Тайлер Мерфі, співзасновник EasyOptOuts
Вони повідомили Apple про цю проблему понад рік тому. Згідно з наданою хронологією, це сталося в червні 2024 року. Apple заявила, що займається усуненням проблеми. Мерфі чекав. Вразливість так і не була усунена. Тоді він передав докази команді 404 Media. Незалежне підтвердження не забарилося. Експлойт працює. 404 Media не почала розкривати конкретний технічний метод атаки — вони є достатньо відповідальними, щоб не публікувати такі деталі. Однак рішення залишити вразливість активною видається ризикованим кроком. Навіщо грати у цю авантюру?
Тестування було дуже простим. Добровольці використали свої псевдоніми. Усі вони були розкриті. Зловмисники демонстрували стовідсоткову ефективність. Це не просто баг. Це провал у дизайні системи, який давно мав бути усунений.
Ситуація стає ще гіршою, якщо ви використовуєте цей сервіс із серйозних причин. Можливо, ви ненавидите отримувати рекламні розсилки на власну скриньку. Можливо, ви реєструєтеся на сайтах, але не хочете, щоб вони відстежували вас через основну адресу. Користувачі iCloud+ платять за цю зручність. Тепер їм доводиться розплачуватися власною пильністю.
У червні минулого року TechCrunch повідомила, що Apple планувала і так змінити домени. Псевдоніми мали перейти на домен private.icloud.com. Поточний домен icloud.com використовується звичайними користувачами, через що псевдоніми виглядають як справжні адреси. Новий домен явно вказуватиме на маску конфіденційності. Це означає, що сайти можуть просто блокувати такі адреси. Функція стане миттєво марною для тих користувачів, яким вона справді потрібна.
Ось у якому становищі ми знаходимося. Маска спадає. Зміна домену загрожує зробити функцію нерелевантною. Apple заявляє, що розслідування продовжилося до травня. Але це вже застаріла новина.
Наразі користувачі надані самим собі. Можливо, варто перевірити інші інструменти конфіденційності. Можливо, варто виходити з того, що адреса електронної пошти не в безпеці. Apple каже, що працює над виправленням. Ми чули це раніше.
Витік реальний. Виправлення віддалено. Довіра тихо розмивається.
