התכונה 'הסתר את האימייל שלי' של אפל עשויה לחשוף את הכתובות האמיתיות של המשתמשים
מסתבר שאחת מתכונות הפרטיות של אפל עשויה להיות לא מאובטחת כפי שחשבו המשתמשים.
התכונה 'הסתר את האימייל שלי' של אפל כוללת כרגע פגיעות שיכולה לחשוף את כתובות האימייל האמיתיות של המשתמשים, 404 דיווחים בתקשורת.
הסתר את הדוא"ל שלי היא תכונת iCloud+ המאפשרת למשתמשים ליצור כתובות דוא"ל ייחודיות ואקראיות בעת הרשמה לאפליקציות, אתרים וחשבונות מקוונים אחרים. הודעות שנשלחות לכתובות אלו מועברות אוטומטית לתיבת הדואר הנכנס האמיתית של המשתמש.
על שלה דף תמיכהאפל טוענת כי 'הסתר את הדוא"ל שלי' נועד לאפשר למשתמשים לשמור על "כתובת האימייל האישית" שלהם פרטית.
אבל חברת הפרטיות EasyOptOuts אמרה ל-404 Media שהיא גילתה פגיעות בשירות שיכולה לאפשר למישהו לחשוף את כתובת האימייל האמיתית הקשורה לכינוי Hide My Email.
404 Media לא חשפה פרטים על הניצול מכיוון שהבאג עדיין לא תוקן. עם זאת, השקע אימת את הפגיעות על ידי יצירת כתובת Hide My Email ושיתוף שלה עם מייסד EasyOptOuts, טיילר מרפי. לאחר מכן הצליח מרפי לחבר את האימייל האנונימי לחשבון אפל המתאים תוך כחמש דקות.
החלק המזעזע ביותר הוא שלפי הדיווחים אפל ידעה על הבעיה כבר יותר משנה ועדיין לא תיקנה אותה.
"Apple Hide My Email מדליפת כתובות אימייל שאמורות להיות מוסתרות", אמר מרפי ל-404 Media. "דיווחנו על הבעיה ועל הוראות השכפול לאפל לפני יותר משנה. אנחנו לא יודעים למה זה לא תוקן, אבל אנחנו לא מרגישים בנוח לחכות יותר. משתמשי Hide My Email ראויים לדעת שייתכן ויתכן שתוקפים יגלו את כתובות האימייל הנסתרות שלהם".
מרפי הוסיף כי אתרי חיפוש אנשים נגישים לציבור מקלים על תוקפים פוטנציאליים לחבר את כתובות האימייל שדלפו לפרטים אישיים אחרים של משתמשים.
לפי 404 Media, מרפי הודיע לראשונה לאפל על הנושא ביוני 2025. אפל הגיבה חודש לאחר מכן ואמרה שהיא בוחנת את הנושא. לאחר מכן, במרץ השנה, דיווחה אפל אמרה למרפי שהבעיה טופלה בשינוי מערכת לאחרונה. מרפי, לעומת זאת, גילה שהפגיעות עדיין לא תוקנה.
במאי, על פי הדיווחים, אפל ביקשה ממרפי לא לחשוף את הניצול מכיוון שהיא עדיין חוקרת. עד סוף אותו חודש, אפל אמרה שהיא מתכננת לתקן את הבעיה בעדכון עתידי "בשבועות הקרובים".
אפל לא הגיבה מיד לבקשת תגובה.
החדשות על הבאג מגיעות גם זמן קצר לאחר שאפל ביצעה שינוי ב-Hide My Email שיכול להפוך את התכונה לפחות יעילה.
TechCrunch דיווחה בחודש שעבר כי אפל אמר למפתחים שזה הולך להפסיק לייצר את המיילים האנונימיים האלה עם הדומיין @icloud.com ובמקום זאת השתמש ב-@private.icloud.com. עמוד התמיכה של אפל אומר כעת שכתובות האימייל נוצרות עם דומיין @privaterelay.appleid.com. TechCrunch ציין כי שינוי זה יקל על אתרים לחסום את השימוש בהרשמות אנונימיות אלו.