Apple’ın Hide My Email özelliğindeki bir zayıflık, saldırganların anonim bir takma adın arkasındaki gerçek e-posta adresini ortaya çıkarmasına olanak tanıyabilir ve bu da şirketin amiral gemisi gizlilik araçlarından birini zayıflatabilir, güvenlik araştırmacıları ve bağımsız testlere göre 404 Media .

 

 

Hide My Email , Apple’ın iCloud+ aboneliğinin bir parçası olarak sunulan bu takma ad, kullanıcıların rastgele e-posta takma adları oluşturarak mesajları ana gelen kutularına iletmesini sağlıyor. Bu özellik, web sitelerinin, uygulamaların ve diğer hizmetlerin bir kullanıcının gerçek e-posta adresini öğrenmesini engellemek için tasarlanmış, spam miktarını azaltacak ve çevrimiçi gizliliği koruyor.

Sorun, gizlilik şirketi EasyOptOuts’un kurucu ortağı Tyler Murphy tarafından keşfedildi; Murphy, bu açıklığı Haziran 2025’te Apple’a bildirdi. Murphy, Apple’ın raporu kabul ettiğini ve bunun ele alınacağını belirtti, ancak bir yıldan fazla bir süre sonra kusurun hâlâ sömürülebilir olduğunu belirtti.

Kullanıcıları daha fazla riske atmamak için 404 Media, bu güvenlik açığının teknik detaylarını yayınlamadı. Ancak, medya bağımsız olarak bulguları doğruladı; yeni Hide My Email bir takma ad oluşturdu ve bunu Murphy’ye verdi; Murphy de Apple hesabına bağlı gerçek e-posta adresini yaklaşık beş dakika içinde tespit etti.

“Sorunun tam kapsamını bilmiyoruz, ancak gönüllülerle yaptığımız sınırlı testlerde adreslerin Hide My Email %100’ü sömürülebilirdi,” dedi Murphy 404 Media’ya. Kamuya açık insan arama hizmetlerinin, saldırganların açığa çıkan bir e-posta adresini diğer kişisel bilgilerle bağlamasına izin vererek bu zafiliği daha da tehlikeli hale getirebileceğini ekledi.

Murphy’ye göre, Apple ilk olarak Mart 2026’da sorunun çözüldüğünü bildirmişti. Ancak yeniden test ettikten sonra, bu zayıflığın hâlâ çalıştığını gördü ve Apple’a ek kanıtlar sundu. Sonraki iletişimlerde Apple’ın araştırmaya devam ettiğini ve gelecekteki bir güvenlik güncellemesinde bir düzeltme yayınlamayı beklediğini belirtti. Bu hafta itibarıyla herhangi bir yama yayımlanmadı.

Bu açıklama, Apple’ın başka bir değişikliğe Hide My Email hazırlandığı bir sırada geldi. Şirket, oluşturulan tüm takma adları @private.icloud.com alan adına taşımayı planlıyor ve mevcut @icloud.com ve @privaterelay.appleid.com adreslerinin yerine geçecek. Bazı gizlilik savunucuları, web sitelerinin yeni alan adını basitçe engelleyebileceği ve bu da güvenlik açığı sonunda düzeltilse bile özelliğin faydasını azaltabileceği konusunda uyardı.

Kimliğini çevrimiçi hesaplardan ayırmak için kullanan Hide My Email kullanıcılar için bu kusur önemli gizlilik etkileri yaratabilir. Gerçek bir e-posta adresini ifşa etmek, saldırganların hesapları birden fazla hizmet arasında ilişkilendirmesini, oltalama kampanyalarını kolaylaştırmasını veya kamu veritabanları aracılığıyla ek kişisel bilgileri ortaya çıkarmasını sağlayabilir.

Apple, sorunun teknik detaylarını kamuoyuna açıklamadı veya bir çözümün ne zaman erişilebilir olacağını açıklamadı. Güvenlik güvenlik araştırmacıları bu zayıflığı yamanana kadar, özellikle hassas kimlikleri korurken anonimlik garantisi yerine ek bir gizlilik katmanı olarak ele almayı Hide My Email önerir.

Bir Cevap Yazın