Lỗ hổng bảo mật trong tính năng ẩn email của Apple có khả năng phơi bày danh tính người dùng
Tính năng Hide My Email được Apple phát triển để bảo vệ quyền riêng tư người dùng khi đăng nhập qua tài khoản Apple vừa bị phát hiện có lỗ hổng nghiêm trọng. Nhà nghiên cứu bảo mật cho biết lỗi này có thể cho phép bên thứ ba truy cập được địa chỉ email thực của người dùng, mặc dù Apple đã biết về vấn đề này từ một năm trước.

Hide My Email là tính năng do Apple phát triển, cho phép người dùng tạo ra các địa chỉ email tạm thời khi thực hiện đăng nhập thông qua tài khoản Apple trên các trang web và dịch vụ của bên thứ ba. Tuy nhiên, một lỗ hổng đang tiềm ẩn trong cơ chế hoạt động của nó có khả năng tiết lộ địa chỉ email chính thức của người sử dụng.
Nhà chuyên gia bảo mật Tyler Murphy đã phát hiện ra lỗi này và công bố công khai trên tờ 404Media vào ngày 1 tháng 7. Theo tìm hiểu của ông, những trang web cũng như nền tảng ứng dụng bên thứ ba hoàn toàn có thể chiếm lấy được thông tin email thực của người dùng ngay cả khi họ sử dụng tính năng Hide My Email để bảo vệ quyền riêng tư của mình.
Murphy tiết lộ rằng anh đã cảnh báo Apple về vấn đề này cách đây một năm, nhưng cho đến nay tập đoàn công nghệ này vẫn chưa thực hiện bất kỳ biện pháp khắc phục nào. Do tình hình này, Murphy quyết định hợp tác với đội ngũ của 404Media để tiến hành các bài kiểm tra sâu hơn. Kết quả từ những thử nghiệm này cho thấy "mọi nỗ lực khai thác lỗ hổng đều đạt được kết quả thành công".
Khi được hỏi về mức độ ảnh hưởng của vấn đề, Murphy cho biết: "Chúng tôi hiện chưa nắm rõ toàn bộ phạm vi của sự cố. Tuy nhiên dựa trên các bài kiểm tra thực tế mà chúng tôi đã tiến hành, 100% số địa chỉ email được tạo thông qua Hide My Email đều có khả năng bị khai thác". Tuy vậy, ông từ chối cung cấp chi tiết kỹ thuật của lỗ hổng vì lo ngại điều này có thể bị những kẻ xấu lợi dụng để gây hại.
Murphy là người đồng sáng lập EasyOptOuts, một dịch vụ chuyên xóa dữ liệu cá nhân trên mạng và có trụ sở ở Hoa Kỳ. Theo ông, cấu trúc thiết kế của Hide My Email không đảm bảo tính bảo mật như những gì Apple quảng cáo, do đó người dùng không nên đặt quá nhiều niềm tin vào tính năng này để bảo vệ thông tin riêng tư của mình.
Tính đến thời điểm hiện tại, Apple chưa đưa ra bất kỳ phản hồi hay bình luận chính thức nào về vấn đề được phát hiện.
Lịch sử phát triển của Hide My Email
Tính năng Hide My Email được Apple giới thiệu ra công chúng vào tháng 9 năm 2021, kèm theo phiên bản cập nhật lớn iOS 15 và iPadOS 15. Theo thông tin được đăng tải trên trang hỗ trợ của Apple, tính năng này cho phép người dùng tạo ra các địa chỉ email được phát sinh ngẫu nhiên khi đang thực hiện đăng ký tài khoản trên các nền tảng khác nhau bằng cách sử dụng tính năng đăng nhập nhanh của Apple. Những địa chỉ email ảo này sẽ tự động chuyển tiếp các thư đến đến hộp thư chính của người dùng, góp phần bảo vệ sự bảo mật của địa chỉ email gốc và hạn chế việc nhận các thư rác không mong muốn.
Những sai sót trước đây từ Apple
Theo báo cáo từ TechCrunch, mặc dù Apple có tiếng là một công ty chú trọng đến chất lượng trong thiết kế phần cứng, phát triển phần mềm và cung cấp các dịch vụ, nhưng không phải mọi tính năng của họ đều hoạt động đúng như những lời quảng cáo. Một ví dụ điển hình là vào năm 2022, Apple đã bị khởi kiện vì tính năng iPhone Analytics được quảng cáo là sẽ ngừng thu thập dữ liệu từ các ứng dụng như App Store, Apple Music, Apple TV, Books và Stocks khi được bật, nhưng thực tế vẫn tiếp tục lấy thông tin người dùng trái phép.
Một trường hợp tương tự xảy ra với tính năng Private Wi-Fi Addresses, mà Apple mô tả là tạo ra những địa chỉ MAC được lựa chọn ngẫu nhiên nhằm che giấu địa chỉ MAC thực của thiết bị, qua đó giảm thiểu khả năng bị theo dõi khi kết nối tới các mạng wifi. Tuy nhiên, trong năm 2023, một nhóm các nhà nghiên cứu bảo mật đã phát hiện rằng trong nhiều tình huống, khi tính năng này được kích hoạt, nó vẫn để lộ địa chỉ MAC thực sự của thiết bị.
Theo thông tin từ Gizmodo, trong phần lớn những trường hợp xảy ra lỗi sản phẩm, Apple thường lựa chọn cách khắc phục vấn đề một cách im lặng thông qua các bản cập nhật định kỳ, thay vì chủ động công khai lên tiếng về sự cố.





Bình luận (0)
Chưa có bình luận. Hãy là người đầu tiên!