苹果的「隐藏我的邮箱」功能本意是保护用户,它会生成随机邮箱地址,把收到的邮件转发到用户的真实收件箱。不过,最近曝光的一个隐私漏洞却让攻击者有可能发现与苹果账号绑定的真实邮箱地址。
404 Media 表示他们已经验证了这个漏洞,还用自己创建的隐藏邮箱地址进行了测试,确认问题依然存在。不过他们没有公布具体技术细节,因为这个漏洞目前还能被利用。
安全研究员 Tyler Murphy 是 EasyOptOuts 的联合创始人,他说团队一年多前就向苹果报告了这个问题。当时测试发现,所有生成的「隐藏我的邮箱」地址都能被用来查出背后的真实邮箱。
Murphy 提到,苹果去年 6 月首次收到报告,后来声称已在今年 3 月修复,但后续测试显示问题依然存在。
据说苹果后来要求他暂时不要公开这个漏洞,等他们彻底解决后再说。但由于苹果错过了预计的 6 月修复时间线,Murphy 最终选择公开披露。
这篇报道发布前不久,苹果刚刚宣布「隐藏我的邮箱」未来将使用新的 private.icloud.com 域名,这一改动已经引发担忧,因为企业可以直接屏蔽该域名来限制这项功能。

已注销
全部评论0