Aggasztó sebezhetőségre bukkantak az Apple biztonsági funkciójában, az E-mail-cím elrejtésében: lényegében bárki visszafejtheti a felhasználó valódi e-mail-címét – derül ki a 404 Media jelentéséből. A portál nem fejti ki, hogyan lehetséges ez, méghozzá okkal: az Apple egy évvel az első bejelentés után sem javította a hibát.
Mire szolgál a funkció
Az E-mail-cím elrejtése funkció célja, hogy a különféle szolgáltatások ne lássák a felhasználó tényleges e-mail-címét, csak egy egyedi, véletlenszerű címet. A levelek a valódi postafiókba futnak be, és meg is válaszolhatók, az adott alkalmazás vagy szolgáltatás üzemeltetője azonban csak a véletlenszerű, @privaterelay.appleid.com végződésű címet látja. A funkció akkor működik, ha a felhasználó a Bejelentkezés az Apple-lel opcióra koppint regisztrációkor.
Egy éve jelezték a hibát
A sebezhetőséget elsőként Tyler Murphy, az EasyOptOuts nevű adateltávolító-szolgáltatás társalapítója fedezte fel, és jelentette is az Apple-nek 2025 júniusában, mellékelve azt is, hogyan reprodukálható a probléma. Az Apple egy hónappal később válaszolt, hogy vizsgálják az esetet, Murphy tapasztalatai szerint azonban azóta sem történt előrelépés az ügyben, ezért fordult a nyilvánossághoz.
A szakember által megadott instrukciók mentén a 404 Media vissza tudott fejteni egy ilyen, privátnak szánt e-mail-címet, Murphy pedig úgy találta, a rejtett címek 100 százaléka visszafejthető az általa ismert módszerrel.
„A következő hetekben megoldjuk a problémát egy biztonsági frissítéssel." – Apple, Tyler Murphynek küldött üzenetében
A szakember az elmúlt egy évben több levélváltást is folytatott az Apple-lel, ahonnan mindig azt a választ kapta, hogy továbbra is vizsgálják a problémát, egyúttal megkérték, hogy ne hozza nyilvánosságra a hibát. Idén májusban a cég azt írta, hamarosan megoldják az ügyet, a 404 Media tesztjei alapján azonban ez egyelőre nem történt meg. Egyelőre nyitott kérdés, mennyi felhasználót érinthet a sebezhetőség, és mikor ad ki az Apple tényleges javítást a problémára.