Ευπάθεια στο Apple Hide My Email αποκαλύπτει τις πραγματικές διευθύνσεις των χρηστών

Add as preferred source on Google

Σύνοψη

  • Σοβαρό κενό ασφαλείας: Το χαρακτηριστικό Hide My Email του iCloud+ περιέχει ευπάθεια που επιτρέπει την αποκάλυψη της πραγματικής διεύθυνσης email των χρηστών.
  • Επιβεβαιωμένο πρόβλημα: Η εταιρεία EasyOptOuts και το 404 Media επαλήθευσαν το κενό ασφαλείας, ανακαλύπτοντας το κρυφό email λογαριασμού μέσα σε μόλις πέντε λεπτά.
  • Αδικαιολόγητη καθυστέρηση: Η Apple έχει ενημερωθεί για το συγκεκριμένο ζήτημα από τον Ιούνιο του 2025, αλλά η ευπάθεια παραμένει ενεργή και πλήρως εκμεταλλεύσιμη.
  • Αλλαγή στρατηγικής στα domains: Η μετάβαση από το @icloud.com στο @privaterelay.appleid.com καθιστά τα κρυφά emails πιο εύκολα ανιχνεύσιμα και ευάλωτα σε μπλοκάρισμα από τρίτες ιστοσελίδες.

Το χαρακτηριστικό Hide My Email της Apple δημιουργήθηκε για να προσφέρει ένα επιπλέον επίπεδο ανωνυμίας και ασφάλειας στο διαδίκτυο. Ως βασικό πλεονέκτημα της συνδρομητικής υπηρεσίας iCloud+, επιτρέπει στους χρήστες να δημιουργούν μοναδικές, τυχαίες διευθύνσεις email κατά την εγγραφή τους σε εφαρμογές, ιστοσελίδες και άλλες ηλεκτρονικές πλατφόρμες. Τα μηνύματα που αποστέλλονται σε αυτές τις διευθύνσεις προωθούνται αυτόματα στα πραγματικά εισερχόμενα του χρήστη, κρατώντας την προσωπική του διεύθυνση μακριά από τα χέρια διαφημιστών και πιθανών spammers. Ωστόσο, μια πρόσφατη αποκάλυψη ανατρέπει πλήρως αυτό το αφήγημα προστασίας.

Σύμφωνα με αναφορές του 404 Media και της εταιρείας κυβερνοασφάλειας EasyOptOuts, ένα σοβαρό κενό ασφαλείας επιτρέπει τη σύνδεση αυτών των υποτιθέμενα ανώνυμων λογαριασμών με τις πραγματικές διευθύνσεις email των χρηστών. Το πλέον ανησυχητικό στοιχείο της υπόθεσης δεν είναι απλώς η ύπαρξη του τεχνικού σφάλματος, αλλά η διαχείρισή του από την ίδια την κατασκευάστρια εταιρεία, η οποία γνωρίζει το ζήτημα εδώ και περισσότερους από δώδεκα μήνες.

Τι ακριβώς συμβαίνει με την ευπάθεια του Apple Hide My Email;

Το Hide My Email του iCloud+ περιέχει μια ενεργή ευπάθεια που επιτρέπει σε τρίτους να συνδέσουν το κρυφό alias με το πραγματικό email του χρήστη. Η EasyOptOuts ανέφερε το πρόβλημα στην Apple τον Ιούνιο του 2025. Παρά τις δεσμεύσεις για επίλυση, το σφάλμα παραμένει λειτουργικό, παραβιάζοντας την ιδιωτικότητα εκατομμυρίων συνδρομητών.

Βασικά δεδομένα

  • Χρόνος εντοπισμού αληθινού email: Περίπου 5 λεπτά (σύμφωνα με τις δοκιμές του 404 Media και του Tyler Murphy).
  • Κατάσταση ευπάθειας: Ενεργή (Zero-day exploit). Οι τεχνικές λεπτομέρειες παραμένουν κρυφές για την αποφυγή μαζικής κακόβουλης χρήσης.
  • Κίνδυνος δεδομένων: Διασύνδεση των email με δημόσιες βάσεις δεδομένων για πλήρη ταυτοποίηση του χρήστη.

Ο συνιδρυτής της EasyOptOuts, Tyler Murphy, διαπίστωσε ότι η υπηρεσία, η οποία υπόσχεται πλήρη απόκρυψη, διαρρέει τα δεδομένα που υποτίθεται ότι προστατεύει. Το 404 Media επαλήθευσε τον ισχυρισμό: δημιούργησε ένα νέο, τυχαίο email μέσω της υπηρεσίας της Apple, το έδωσε στον Murphy και εκείνος κατάφερε, μέσα σε ελάχιστα λεπτά, να βρει την πραγματική διεύθυνση email που συνδεόταν με τον αντίστοιχο λογαριασμό Apple ID.

Όταν τέτοιες διευθύνσεις διαρρέουν, οι κακόβουλοι χρήστες μπορούν να χρησιμοποιήσουν ανοιχτές πλατφόρμες αναζήτησης προσώπων για να αντιστοιχίσουν το email με ονόματα, φυσικές διευθύνσεις, αριθμούς τηλεφώνου και άλλες ευαίσθητες πληροφορίες. Οι συνέπειες ξεκινούν από στοχευμένες επιθέσεις phishing και φτάνουν μέχρι την πλήρη κλοπή ταυτότητας.

Ιστορικό καθυστερήσεων: Ένας χρόνος αδράνειας από την Apple

Το χρονολόγιο της επικοινωνίας ανάμεσα στον ερευνητή και τον τεχνολογικό κολοσσό εγείρει σοβαρά ερωτήματα για τις διαδικασίες εσωτερικού ελέγχου και επιδιόρθωσης της εταιρείας.

Ο Murphy ανέφερε το πρόβλημα αρχικά τον Ιούνιο του 2025, παρέχοντας ακριβείς οδηγίες για την αναπαραγωγή του σφάλματος. Η Apple απάντησε έναν μήνα αργότερα, επιβεβαιώνοντας ότι εξετάζει την αναφορά. Έπρεπε να φτάσουμε στον Μάρτιο του 2026 για να δηλώσει η εταιρεία ότι το ζήτημα επιλύθηκε μέσω μιας πρόσφατης ενημέρωσης συστήματος. Ο Murphy, ωστόσο, δοκίμασε ξανά την τεχνική του και διαπίστωσε ότι το κενό ασφαλείας ήταν ακόμη εκεί.

Τον Μάιο του 2026, η Apple ζήτησε από τον ερευνητή να μην προχωρήσει σε δημόσια αποκάλυψη, υποστηρίζοντας ότι η έρευνα βρισκόταν ακόμη σε εξέλιξη, με την υπόσχεση πως το πρόβλημα θα διορθωθεί σε μελλοντική αναβάθμιση "τις επόμενες εβδομάδες". Εντούτοις, μέχρι σήμερα, η ευπάθεια παραμένει ανεπίλυτη.

«Δεν γνωρίζουμε γιατί δεν έχει διορθωθεί, αλλά δεν αισθανόμαστε άνετα να περιμένουμε άλλο», δήλωσε ο Murphy στο 404 Media. «Οι χρήστες του Hide My Email αξίζουν να γνωρίζουν ότι οι επιτιθέμενοι ενδέχεται να είναι σε θέση να ανακαλύψουν τις κρυμμένες διευθύνσεις τους».

Αλλαγές στα domains: Ακόμη ένα πλήγμα στη λειτουργία

Εκτός από το κενό ασφαλείας, η υπηρεσία αντιμετωπίζει λειτουργικές προκλήσεις. Σύμφωνα με πρόσφατο ρεπορτάζ του TechCrunch, η Apple ειδοποίησε τους προγραμματιστές ότι σταματά τη δημιουργία ανώνυμων email κάτω από το βασικό domain @icloud.com. Αντί αυτού, τα νέα aliases θα χρησιμοποιούν τις καταλήξεις @private.icloud.com ή @privaterelay.appleid.com.

Αυτή η τεχνική διαφοροποίηση, παρότι φαινομενικά ασήμαντη, διευκολύνει τους διαχειριστές των διαφόρων ιστοσελίδων να δημιουργήσουν φίλτρα και να μπλοκάρουν εντελώς τη χρήση αυτών των διευθύνσεων. Πολλοί ιστότοποι απαγορεύουν ήδη τα αναλώσιμα emails προκειμένου να αποτρέψουν τη δημιουργία ψεύτικων λογαριασμών. Ο διαχωρισμός του domain των κρυφών email από το κεντρικό @icloud.com μετατρέπει το Hide My Email σε έναν εύκολο στόχο αυτοματοποιημένου αποκλεισμού, μειώνοντας δραματικά την πρακτική χρησιμότητά του.

Loading