В функции маскировки почтовых адресов Apple выявлена уязвимость, позволяющая раскрыть реальный email пользователя, скрытый за сгенерированным псевдонимом.

Функция «Скрыть e-mail», впервые представленная на конференции WWDC 2021, была задумана как защита от спама: она передаёт сайтам случайно сгенерированные адреса электронной почты, а поступающие на них письма переадресует на настоящий ящик пользователя. При этом Apple предусмотрела фильтрацию входящей почты — отправить сообщение на сгенерированный адрес может только тот сайт, для которого он был создан.

Уязвимость обнаружил эксперт по кибербезопасности Тайлер Мёрфи. Принцип работы эксплойта он не раскрыл, однако передал соответствующую информацию Apple и журналистам издания 404 Media, которым удалось воспроизвести уязвимость во всех случаях тестирования.

Сроки устранения проблемы компанией пока неизвестны. По словам Мёрфи, первое сообщение с описанием уязвимости он направил Apple ещё в прошлом году, однако функция «Скрыть e-mail» до сих пор допускает раскрытие адресов электронной почты, которые должны оставаться скрытыми.

©


Смотрите также/You may also like