Funkce Hide My Email má podle bezpečnostního výzkumníka chybu, kvůli které lze odhalit skutečnou adresu spojenou s Apple ID. Pro uživatele jde o nepříjemný zásah do soukromí.
Funkce Hide My Email, kterou Apple dlouhodobě používá jako štít proti spamu a sledování, má podle zjištění bezpečnostního výzkumníka problém: místo skryté adresy může za určitých okolností odhalit i skutečný e-mail spojený s Apple účtem. Pokud se potvrzuje, jde o citlivou chybu přímo v nástroji, který má soukromí chránit.
Skrytá adresa nemusí být tak skrytá
Hide My Email je součástí služeb iCloud+ a funguje jednoduše: při registraci na webu nebo do aplikace místo své hlavní adresy použijete náhodně vygenerovaný přesměrovací e-mail. Zprávy pak dorazí do vaší schránky, ale cizí služba nevidí skutečnou adresu. Právě to má teď podle výzkumníka selhávat.
Podle jeho tvrzení testy ukázaly, že v praxi bylo možné odhalit skutečný e-mail u všech vytvořených adres. To je důležité hlavně proto, že Hide My Email není jen pohodlná vychytávka, ale nástroj pro ochranu identity na internetu. Pokud přestane fungovat, mizí jedna z hlavních výhod předplatného iCloud+.
Na rozdíl od běžného přeposílání pošty tady nejde jen o technickou nepříjemnost. Únik skutečné adresy může vést k cílenému spamu, phishingu nebo k propojení různých účtů napříč službami. Pro běžného uživatele to znamená, že i „skrytý“ kontakt už nemusí být dostatečně anonymní.
Pro uživatele iCloudu je to problém hlavně v praxi
Nejcitlivější na celé věci je podle dostupných informací délka, po kterou zůstala chyba bez opravy. Výzkumník tvrdí, že ji Applu nahlásil už před více než rokem, přesto se podle něj zatím neobjevilo definitivní řešení. Apple měl údajně problém nejdřív označit za vyřešený, později ale vyšlo najevo, že tomu tak nebylo.
To je přesně situace, která u podobných bezpečnostních funkcí budí největší obavy. Uživatel totiž obvykle předpokládá, že když něco patří do balíčku soukromí od Applu, je ochrana vyřešená pečlivě a dlouhodobě. Tady se ale ukazuje, že i dobře známé funkce mohou mít slabé místo, které není na první pohled vidět.
Apple už dříve oznámil, že pro Hide My Email plánuje používat novou doménu private.icloud.com. Některým uživatelům se to nelíbí, protože webové služby by mohly tuto doménu blokovat a tím komplikovat používání privacy funkcí. V kontextu dnešní chyby je ale jasné, že nejde jen o doménu samotnou, nýbrž o to, aby anonymizace fungovala spolehlivě v každém kroku.
Pro české uživatele to má jednoduchý závěr: pokud Hide My Email používáte na citlivější registrace, vyplatí se sledovat, kdy Apple vydá opravu a zda se váš skrytý e-mail dál nechová skutečně skrytě. Dokud není chyba uzavřená, je rozumné brát tuto funkci spíš jako pohodlný filtr než jako stoprocentní garanci anonymity.
Podrobnosti přinesl také 9to5mac.

Chcete k tomu něco dodat? Napište krátce proč.