DEVICES

Lỗ hổng khiến email bị lộ khi đăng nhập bằng tài khoản Apple

Bùi Đăng MinhThứ sáu, 3/7/20268 min read
Lỗ hổng khiến email bị lộ khi đăng nhập bằng tài khoản Apple

Được nhà nghiên cứu bảo mật Tyler Murphy phát hiện và công bố trên 404Media ngày 1/7, lỗi khiến nền tảng và website bên thứ ba có thể thu được email thật của người dùng, kể cả khi họ đăng nhập qua Hide My Email (Ẩn email của tôi) - tính năng cho phép tạo email dùng một lần để bảo vệ quyền riêng tư.

Murphy cho biết đã gửi cảnh báo tới Apple từ một năm trước, nhưng công ty vẫn chưa khắc phục. Do đó, ông hợp tác với 404Media thử nghiệm sâu hơn, kết quả cho thấy "tất cả nỗ lực khai thác lỗi đều thành công".

"Chúng tôi chưa biết rõ phạm vi đầy đủ của vấn đề. Nhưng trong các thử nghiệm thực tế, 100% địa chỉ email của Hide My Email đều có thể bị khai thác", Murphy nói, nhưng từ chối mô tả chi tiết lỗ hổng vì lo ngại sẽ bị lợi dụng.

Murphy là nhà đồng sáng lập EasyOptOuts, dịch vụ xóa dữ liệu trả phí có trụ sở tại Mỹ. Theo ông, cơ chế của Hide My Email không đảm bảo an toàn, người dùng không nên tin tưởng hoàn toàn tính năng này.

Apple chưa đưa ra bình luận.

Tính năng Hide My Email trên iPhone. Ảnh: iGeeksBlog
Tính năng Hide My Email trên iPhone. Ảnh: iGeeksBlog

Hide My Email ra mắt tháng 9/2021 cùng với bản cập nhật iOS 15 và iPadOS 15. Trên website hỗ trợ, Apple cho biết tính năng cho phép tạo địa chỉ email ảo ngẫu nhiên khi đăng ký tài khoản với nền tảng bên thứ ba bằng chức năng đăng nhập nhanh. Email ảo này sẽ chuyển tiếp thư đến hộp thư chính của người dùng, giúp giữ bí mật địa chỉ email thật và chặn thư rác.

Theo TechCrunch, Apple vốn nổi tiếng với các sản phẩm phần cứng, phần mềm và dịch vụ chỉn chu, nhưng không phải tính năng nào cũng hoạt động như quảng cáo. Chẳng hạn, năm 2022, Apple bị kiện vì iPhone Analytics được quảng bá sẽ ngừng lấy thông tin từ App Store, Apple Music, Apple TV, Books và Stocks khi kích hoạt, nhưng thực tế vẫn âm thầm thu thập dữ liệu trái phép.

Tương tự, Apple mô tả tính năng Private Wi-Fi Addresses tạo địa chỉ MAC ngẫu nhiên để giấu địa chỉ MAC thật của thiết bị, qua đó hạn chế khả năng theo dõi khi kết nối wifi. Tuy nhiên năm 2023, các nhà nghiên cứu phát hiện trong một số trường hợp khi được kích hoạt, nó vẫn để lộ địa chỉ MAC thật.

Theo Gizmodo, trong hầu hết những lần xảy ra sự cố, Apple thường âm thầm khắc phục vấn đề qua các bản cập nhật thay vì lên tiếng.

Bảo Lâm tổng hợp

Nguồn / Original source: VnExpress