Функция Apple «Скрыть мою электронную почту» годами раскрывала реальные email-адреса пользователей

Функция Apple Скрыть мою электронную почту годами раскрывала реальные email-адреса пользователей

изображение: grok

Сервис Hide My Email от Apple, задуманный для сокрытия настоящего адреса электронной почты подписчиков iCloud+, сам стал источником потенциальной утечки. Исследователь безопасности Тайлер Мерфи установил, что механизм способен выдавать реальные адреса пользователей — те самые, которые обязан прятать. Компания разбирается с проблемой уже больше года, а полностью закрыть её до сих пор не смогла.

Тайлер Мерфи обнаружил странное поведение Hide My Email летом 2025 года и тогда же направил в Apple подробный отчёт с описанием сценария воспроизведения. Через месяц компания подтвердила получение письма, а позднее уведомила исследователя о выпуске патча в марте 2026 года. Повторные тесты показали, что заявленное исправление не сработало.

Издание 404 Media провело собственную проверку и получило те же результаты. Даже свежесозданные псевдонимы, оформленные уже после мартовского обновления, продолжали содержать данные, по которым можно было восстановить настоящий адрес владельца аккаунта.

Работает Hide My Email по простой схеме — при регистрации на стороннем сайте или в приложении генерируется случайный адрес в домене icloud.com, все письма с него незаметно пересылаются владельцу, а настоящий ящик остаётся невидимым для сервиса. Подписчикам iCloud+ инструмент нужен для решения сразу нескольких задач:

  • сокращение объёма спама после регистраций на малознакомых площадках;
  • усложнение сквозного отслеживания рекламными сетями и брокерами данных;
  • снижение ущерба при утечках баз клиентов у сторонних компаний;
  • разграничение переписки по разным сервисам без множества почтовых ящиков;
  • быстрое отключение конкретного псевдонима при первых признаках злоупотреблений.

Стоит обратить внимание, что механизм, продаваемый именно как приватный, годами работал с изъяном, о котором знали и разработчик, и внешний исследователь, а рядовые подписчики оставались в неведении.

Технические детали ошибки Apple попросила не раскрывать до выхода полноценного патча — по имеющимся данным, компания опасалась, что публичное описание сценария подстегнёт массовую эксплуатацию. Мерфи предложил на время расследования отключить сервис или ограничить его функциональность, но получил ответ, что обновление появится в ближайшие недели. Никаких публичных сроков Apple при этом не назвала.

Сейчас псевдонимы формируются из случайного набора символов в домене icloud.com. Позднее в этом году Apple обещала перевести Hide My Email и функцию «Войти с Apple» на новый домен private.icloud.com — переход планировался как часть общего обновления инфраструктуры приватных сервисов, а не как ответ на уязвимость. Обстоятельства, при которых баг мог быть использован реальными злоумышленниками, компания пока не комментирует, статистики попыток эксплуатации в открытом доступе тоже нет.

Электронная почта остаётся одним из главных цифровых идентификаторов человека — к ней привязаны банковские кабинеты, госуслуги, рабочие аккаунты, восстановление паролей и двухфакторная авторизация. Утечка настоящего адреса из-под приватного псевдонима фактически обнуляет всю схему разграничения, ради которой пользователь и оформлял iCloud+. Возможные последствия для подписчиков сводятся к нескольким направлениям:

  • целевой фишинг с использованием контекста конкретного сервиса, где применялся псевдоним;
  • продажа связки «псевдоним — реальный ящик» на теневых площадках;
  • корреляция аккаунтов на разных сайтах и раскрытие цифрового следа человека;
  • рост нежелательных рассылок на ящик, который владелец никогда публично не указывал;
  • повторное использование данных в атаках на восстановление доступа к другим сервисам.

Интересно, что уязвимость нашли и удерживали в непубличном режиме именно внешние специалисты, а не внутренние команды безопасности Apple, хотя приватность традиционно позиционируется компанией как одно из главных конкурентных преимуществ.

Реакция сообщества уже разделилась — часть исследователей считает, что затягивание патча более чем на год выходит за рамки разумного срока раскрытия по общепринятым практикам ответственного разглашения. Другие эксперты обращают внимание на осторожность Apple, которая предпочитает выпускать однократное исправление, а не серию частичных заплаток. Ситуация с Hide My Email наглядно показывает, что механизмы, продаваемые как средство защиты приватности, требуют такого же независимого аудита, как и любые системы аутентификации.

Ошибку исследователь обнаружил в ходе рутинной проверки поведения сервиса, а не при расследовании инцидента у клиента. Мерфи заявил, что продолжает мониторить состояние функции и готов передать обновлённые данные Apple, если в течение анонсированных недель патч так и не появится. Возможность отключить Hide My Email в настройках iCloud остаётся у каждого подписчика, хотя Apple прямо не рекомендует этот шаг.

Ранее сообщалось, что Федеральная антимонопольная служба потребовала от Apple изменить правила работы поиска на устройствах с iOS и выполнить требования российского законодательства, касающиеся поддержки отечественного программного обеспечения. Ведомство установило срок до 15 июля 2026 года для исполнения предупреждения. В случае отказа ФАС намерена возбудить антимонопольное дело, а возможный размер штрафа, по предварительным оценкам, может достигнуть 4 млрд рублей.

Редакция CISOCLUB отмечает, что нынешний случай хорошо иллюстрирует ограничения любой закрытой модели разработки приватных сервисов. Более года между отчётом и рабочим патчем — срок, за который заинтересованные стороны вполне могли самостоятельно найти тот же дефект и монетизировать его. Публичная позиция Apple с просьбой не раскрывать детали защищает пользователей от массовой эксплуатации, но одновременно лишает их возможности принять осознанное решение о временном отказе от сервиса.

Эксперты редакции уверены, что практика приватного удержания уязвимостей должна сопровождаться жёсткими внутренними сроками выпуска патчей, иначе доверие подписчиков к платным приватным функциям будет постепенно размываться. Верным шагом со стороны Apple было бы публичное признание проблемы и разъяснение, кому из подписчиков и в какой мере грозит раскрытие данных.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: