В сервисе Apple Hide My Email обнаружена уязвимость, позволяющая раскрыть настоящий адрес почты
Читать в полной версииApple предлагает функцию Hide My Email, направленную на обеспечение конфиденциальности — чтобы скрыть свой настоящий адрес электронной почты, можно использовать временный и обеспечить свою анонимность в интернете. Как выяснилось, в реализации этой услуги допущена ошибка, позволяющая раскрывать настоящие адреса пользователей.
Об ошибке сообщил ресурс 404 Media, который, по его утверждению, протестировал и подтвердил наличие уязвимости. Обнаруживший ошибку исследователь Тайлер Мёрфи (Tyler Murphy) предупредил Apple о проблеме более года назад, и до сих пор нет ясности, почему компания не исправила ошибку. Все попытки её эксплуатировать оказались успешными, добавил эксперт. «Полного масштаба проблемы мы не знаем, но в наших тестах с участием добровольцев 100 % адресов функции Hide My Email оказались уязвимыми», — заявил он. Подробности о механизмах уязвимости и её эксплуатации он не сообщил из-за опасений, что открытием воспользуются злоумышленники.
Тайлер Мёрфи является соучредителем компании EasyOptOuts, предлагающей платную услугу удаления информации с сайтов — брокеров данных. «Общедоступные сайты поиска людей позволяют с лёгкостью связать адрес электронной почты с другими личными данными, поэтому люди, полагающиеся на Hide My Email для обеспечения безопасности, могут подвергаться угрозе», — предупредил эксперт.
Это уже не первый случай, когда направленные на обеспечение конфиденциальности средства Apple не работают надлежащим образом. В 2022 году выяснилось, что даже при активной настройке конфиденциальности iPhone Analytics приложения для смартфона продолжали отправлять аналитику в Apple. В 2023 году стало известно, что функция подстановки случайных MAC-адресов при подключении к Wi-Fi раскрывала настоящий MAC-адрес пользователя.