Уязвимость в функции Apple «Скрыть e-mail» позволяет раскрыть 100% реальных адресов электронной почты

Из-за проблемы с конфиденциальностью в функции Apple «Скрыть e-mail» ваш реальный адрес электронной почты может быть раскрыт. Исследователь в области безопасности заявил, что тесты показали: в 100% случаев сгенерированные адреса позволяют злоумышленнику узнать реальный e-mail, привязанный к учетной записи Apple.

Тайлер Мерфи сообщил, что обнаружил и передал информацию о проблеме в Apple более года назад, однако она до сих пор не исправлена, и теперь он принял решение обнародовать данные…

Издание 404 Media подтвердило наличие уязвимости.

«Функция Apple «Скрыть e-mail» допускает утечку адресов, которые должны быть скрыты. Мы сообщили об этой проблеме и предоставили инструкции по её воспроизведению в Apple более года назад. Мы не знаем, почему её до сих пор не устранили, но мы больше не считаем возможным ждать. Пользователи функции «Скрыть e-mail» заслуживают знать, что злоумышленники могут узнать их скрытые адреса», — заявил 404 Media Тайлер Мерфи, соучредитель EasyOptOuts, обнаруживший проблему и сообщивший о ней в Apple.

404 Media не раскрывает точных подробностей уязвимости, поскольку по состоянию на понедельник она всё ещё может быть использована для атак, что издание подтвердило на одном из своих скрытых адресов.

Мерфи рассказал, что сообщил о проблеме в Apple в июне прошлого года, и в компании ответили, что занимаются изучением вопроса. В марте этого года Apple заявила, что уязвимость устранена, однако Мерфи выяснил, что это не так. Он снова связался с Apple, и компания попросила его не разглашать информацию о наличии бреши до тех пор, пока она не будет полностью закрыта.

Затем в Apple сообщили, что планируют исправить ошибку в июне, но поскольку этого так и не произошло, Мерфи заявил, что больше не считает нужным хранить молчание. Он не стал делиться какими-либо подробностями об ошибке или способах её эксплуатации.

Недавно Apple объявила, что в будущем будет использовать новый домен, private.icloud.com, для адресов функции «Скрыть e-mail». Некоторые пользователи были недовольны тем, что компании смогут блокировать этот домен, чтобы ограничивать использование данной функции конфиденциальности.

Изображение: 9to5Mac/Apple/Джеймс Ли