ДомойZ - Баннер Главная итальянскийОшибка Apple «Скрыть мой email» достигает 100% успешной эксплуатации в ходе проверок...

Ошибка Apple «Скрыть мой email» достигает 100% успешной эксплуатации в ходе проверок безопасности

Уязвимость в функции Apple Hide My Email оставила миллионы подписчиков iCloud Plus потенциально под угрозой — их реальные адреса электронной почты тихо видны каждому, кто готов воспользоваться базовым инструментом поиска личности. Это не теоретический риск. По словам Тайлера Мерфи, сооснователя Easy Opt Out, каждый протестированный адрес Hide My Email поддавался эксплуатации.

Ключевые выводы

  • Уязвимость в сервисе Apple Hide My Email позволяет любому человеку раскрыть реальный адрес электронной почты пользователя с помощью общедоступных инструментов поиска личности.
  • Тайлер Мерфи из Easy Opt Out сообщил Apple об ошибке в июне 2025 года; Apple заявила об исправлении в марте 2026 года, но уязвимость сохранилась.
  • Тесты на добровольцах показали 100% уровень эксплуатации для всех протестированных адресов Hide My Email.
  • Apple планировала обновления, включая смену домена с icloud.com на private.icloud.com, хотя сроки полного исправления остаются неясными.
  • Эксперты советуют подписчикам iCloud Plus временно прекратить использование Hide My Email до устранения проблемы.

Уязвимость в безопасности раскрывает реальные адреса в Apple Hide My Email

Hide My Email основан на простой идее: вы регистрируетесь на сайте, используя одноразовый псевдоним в рамках домена icloud.com, а ваш настоящий почтовый ящик остается невидимым. Псевдоним принимает на себя спам, истекает по расписанию и сохраняет вашу личность в чистоте. При цене примерно один доллар в месяц за начальный уровень iCloud Plus это выглядит как здоровая гигиена конфиденциальности.

У этого обещания есть серьезная трещина. Мерфи рассказал 404 Media, первым сообщившим и подтвердившим уязвимость, что общедоступные сайты поиска людей позволяют легко связать адрес Hide My Email с другими личными данными, что означает: любому достаточно мотивированному человеку — брокеру данных, преследователю, мошеннику — не нужны сложные хакерские навыки, чтобы пройти путь от псевдонима к реальному почтовому ящику.

Easy Opt Out провела контролируемые тесты с добровольцами, и результаты были однозначными: 100% протестированных адресов Hide My Email могли быть использованы для раскрытия реального адреса электронной почты пользователя через инструменты поиска личности, доступные широкой публике. Мерфи отказался публично описывать точный механизм эксплуатации, а 404 Media на момент публикации удержалась от технических подробностей, чтобы предотвратить немедленную массовую эксплуатацию.

Последствия трудно игнорировать, учитывая характер функции. Hide My Email существует именно для ситуаций, когда раскрытие несет реальные последствия — регистрация в сервисах, которые могут быть взломаны в будущем, ограничение видимости для брокеров данных, защита пользователей в чувствительных обстоятельствах. Мерфи специально предупредил, что «люди, полагающиеся на Hide My Email для собственной безопасности, могут быть под угрозой», — заявление, которое выводит проблему за рамки узко технической.

Обнаружение, сообщение и временная шкала реакции Apple

Раннее обнаружение и сообщение в июне 2025 года

Мерфи впервые уведомил Apple об уязвимости в июне 2025 года — более чем за год до публичного раскрытия. Уже одна эта временная шкала заслуживает внимания. Функция конфиденциальности, активно используемая в коммерческом продукте, с известной и подтвержденной уязвимостью безопасности, оставалась не исправленной в течение целого года пользовательского воздействия.

Заявление Apple об исправлении в марте 2026 года и сохранение ошибки

В марте 2026 года Apple сообщила Мерфи, что проблема решена. Мерфи проверил. Нет, не решена. Уязвимость по-прежнему полностью поддавалась эксплуатации после заявленного Apple исправления, что вызывает вопросы о строгости внутреннего тестирования, предшествовавшего этому заверению.

Разногласия по поводу публичного раскрытия

К маю 2026 года Apple признала, что все еще проводит расследование, и попросила Мерфи повременить с публичным заявлением. Сообщение Apple было прямым: «Чтобы не подвергать наших клиентов риску, мы были бы признательны, если бы вы не раскрывали эту информацию до завершения нашего расследования». Мерфи не согласился. Он все равно выступил публично, утверждая, что пользователи имеют право знать о риске, который уже более года сохраняется без решения.

Это разногласие отражает реальное напряжение в сфере исследований безопасности. Скоординированное раскрытие — когда исследователи дают компаниям время на исправление до публикации — является стандартной практикой и в целом защищает пользователей. Но когда компания не укладывается в собственный заявленный срок исправления, продолжает затягивать и по-прежнему не называет подтвержденную дату решения, исследователи оказываются перед сложным выбором. Позиция Мерфи: дальнейшее молчание означало бы дальнейшее воздействие на пользователей, которые не подозревают, что их инструмент конфиденциальности скомпрометирован.

Apple не ответила на запросы о комментариях ни от 404 Media, ни от CNET после публичного раскрытия.

Последствия для пользователей и планируемые обновления Apple

Для всех, кто сейчас использует Hide My Email, практический совет от экспертов по безопасности прост: временно прекратить использование функции до тех пор, пока Apple не подтвердит рабочее исправление. Риск не является абстрактным — он в том, что каждый использованный вами псевдоним потенциально может быть прослежен до вашего реального почтового ящика человеком, имеющим доступ к стандартным инструментам брокеров данных.

Apple указала, что этим летом работает над несколькими обновлениями функции. Наиболее конкретным объявленным изменением является смена домена с icloud.com на private.icloud.com. Причины именно такого изменения публично не объяснялись, а новая структура поддомена несет свои собственные сложности.

Если сайты и сервисы начнут распознавать и блокировать адреса, оканчивающиеся на private.icloud.com — что вполне реалистично, поскольку многие платформы уже помечают или отклоняют известные домены-псевдонимы, — пользователи Hide My Email могут оказаться вынуждены снова делиться своими реальными адресами. Это фактически сведет на нет основную цель функции. О том, учла ли Apple этот последующий эффект при планировании обновления, пока неизвестно.

Это не первое столкновение Apple между ее брендом конфиденциальности и реальной работой инструментов защиты приватности. В 2022 году было обнаружено, что приложения iPhone отправляли аналитические данные в Apple, даже когда настройка iPhone Analytics была отключена. В 2023 году функция рандомизации MAC-адреса, призванная анонимизировать Wi‑Fi-подключения, вместо этого раскрывала реальные MAC-адреса пользователей. Каждый такой инцидент подтачивал одну и ту же основу: долго формировавшуюся репутацию Apple как компании, которая по умолчанию серьезно относится к конфиденциальности пользователей.

Уязвимость Hide My Email отличается в одном ключевом аспекте — она затрагивает функцию, которую пользователи сознательно включают именно затем, чтобы защитить себя. Разрыв между ожиданиями и реальностью здесь максимален как раз там, где ставки самые высокие.

FAQ

В чем заключается обнаруженная уязвимость в сервисе Apple Hide My Email?

Уязвимость позволяет злоумышленникам раскрывать реальные адреса электронной почты пользователей, связанные с их псевдонимами Hide My Email, с помощью базовых и общедоступных инструментов поиска личности. Тесты Easy Opt Out показали 100% уровень эксплуатации для всех протестированных адресов.

Когда Apple впервые узнала об ошибке в Hide My Email?

Apple была уведомлена об уязвимости в июне 2025 года Тайлером Мерфи, сооснователем Easy Opt Out.

Исправила ли Apple ошибку в Hide My Email?

Apple заявила, что исправила проблему в марте 2026 года, но Мерфи подтвердил, что уязвимость сохранялась и после этой даты. По состоянию на публичное раскрытие в июле 2026 года Apple не подтвердила рабочее решение.

Какие меры планирует Apple для повышения безопасности Hide My Email?

Apple планирует обновить Hide My Email, в частности, сменив домен электронной почты с icloud.com на private.icloud.com, наряду с другими обновлениями, ожидаемыми позже летом 2026 года. Подтверждения того, что это полностью закроет уязвимость, пока нет.

{«@context»:»https://schema.org»,»@type»:»FAQPage»,»mainEntity»:[{«@type»:»Question»,»name»:»В чем заключается обнаруженная уязвимость в сервисе Apple Hide My Email?»,»acceptedAnswer»:{«@type»:»Answer»,»text»:»Уязвимость позволяет злоумышленникам раскрывать реальные адреса электронной почты пользователей, связанные с их псевдонимами Hide My Email, с помощью базовых и общедоступных инструментов поиска личности. Тесты Easy Opt Out показали 100% уровень эксплуатации для всех протестированных адресов.»}},{«@type»:»Question»,»name»:»Когда Apple впервые узнала об ошибке в Hide My Email?»,»acceptedAnswer»:{«@type»:»Answer»,»text»:»Apple была уведомлена об уязвимости в июне 2025 года Тайлером Мерфи, сооснователем Easy Opt Out.»}},{«@type»:»Question»,»name»:»Исправила ли Apple ошибку в Hide My Email?»,»acceptedAnswer»:{«@type»:»Answer»,»text»:»Apple заявила, что исправила проблему в марте 2026 года, но Мерфи подтвердил, что уязвимость сохранялась и после этой даты. По состоянию на публичное раскрытие в июле 2026 года Apple не подтвердила рабочее решение.»}},{«@type»:»Question»,»name»:»Какие меры планирует Apple для повышения безопасности Hide My Email?»,»acceptedAnswer»:{«@type»:»Answer»,»text»:»Apple планирует обновить Hide My Email, в частности, сменив домен электронной почты с icloud.com на private.icloud.com, наряду с другими обновлениями, ожидаемыми позже летом 2026 года. Подтверждения того, что это полностью закроет уязвимость, пока нет.»}}]}

Статья подготовлена при содействии искусственного интеллекта и проверена редакционной командой.

Satoshi Voice
Эта статья была подготовлена при поддержке искусственного интеллекта и проверена нашей командой журналистов для обеспечения точности и качества.
RELATED ARTICLES

Stay updated on all the news about cryptocurrencies and the entire world of blockchain.

Featured video

LATEST