Tính năng Hide My Email của Apple bị phát hiện lỗ hổng, có thể làm lộ địa chỉ email thật

Nguyễn Tiến Khoa

Một báo cáo mới cho thấy tính năng Hide My Email của Apple có thể tồn tại lỗ hổng bảo mật, cho phép kẻ tấn công liên kết địa chỉ email thật của người dùng với email ẩn danh được hệ thống tạo ra.

Hide My Email hoạt động như thế nào?

Hide My Email là tính năng dành cho người dùng đăng ký iCloud+. Thay vì cung cấp địa chỉ email cá nhân khi đăng ký tài khoản hoặc sử dụng các dịch vụ trực tuyến, người dùng có thể tạo một địa chỉ email ngẫu nhiên do Apple cấp. Mọi email gửi đến địa chỉ này sẽ được chuyển tiếp về hộp thư thật của người dùng mà không tiết lộ email gốc.

Tính năng này được nhiều người sử dụng để hạn chế thư rác, tránh bị theo dõi bởi các dịch vụ trực tuyến và giảm nguy cơ lộ thông tin cá nhân nếu một nền tảng gặp sự cố rò rỉ dữ liệu.

Lỗ hổng có thể liên kết email ẩn với email thật

Theo 404 Media, nhóm nghiên cứu của EasyOptOuts đã phát hiện một phương thức có thể xác định địa chỉ email thật đứng sau các email ẩn danh do Apple tạo. CEO của EasyOptOuts, Tyler Murphy, cho biết nhóm nghiên cứu đã báo cáo vấn đề này với Apple từ khoảng một năm trước, đồng thời cung cấp hướng dẫn để tái hiện lỗ hổng.

Ông cho biết Apple đã nhiều lần phản hồi rằng công ty đang điều tra, phát triển giải pháp hoặc đã triển khai bản vá. Tuy nhiên, trong quá trình phối hợp thực hiện bài điều tra, Murphy và phóng viên Joseph Cox của 404 Media vẫn có thể khai thác thành công lỗ hổng.

Để tránh nguy cơ bị lợi dụng, nhóm nghiên cứu không công bố chi tiết phương pháp khai thác.

EasyOptOuts cho biết mọi trường hợp thử nghiệm đều bị ảnh hưởng

Tyler Murphy cho biết nhóm của ông quyết định công khai thông tin sau khi chờ đợi trong thời gian dài mà lỗ hổng vẫn chưa được xử lý triệt để. Theo ông, người dùng Hide My Email cần biết rằng địa chỉ email ẩn danh của họ có thể không an toàn như kỳ vọng.

Murphy cũng cho biết trong các thử nghiệm giới hạn được thực hiện với những người tình nguyện, toàn bộ địa chỉ Hide My Email đều có thể bị khai thác để xác định email thật. Ông đồng thời nhấn mạnh nhóm nghiên cứu chưa thể đánh giá đầy đủ phạm vi ảnh hưởng của lỗ hổng trên quy mô toàn cầu.

Apple chưa đưa ra phản hồi chính thức

Bài cùng chuyên mục