Lỗ hổng bảo mật nghiêm trọng "Ẩn email của tôi" làm ảnh hưởng đến quyền riêng tư của người dùng.
Tính năng "Ẩn email của tôi" của Apple được cho là đang để lộ địa chỉ email thật do một lỗ hổng bảo mật nghiêm trọng chưa được vá. Tìm hiểu về rủi ro và các giải pháp thay thế tốt nhất để bảo vệ quyền riêng tư của bạn.

Tính năng "Ẩn Email của tôi" của Apple, một tính năng thiết yếu của dịch vụ đăng ký iCloud Plus được thiết kế để bảo vệ danh tính người dùng bằng cách che giấu địa chỉ email thật bằng các bí danh ngẫu nhiên, đã được phát hiện chứa một lỗ hổng bảo mật nghiêm trọng.
Phát hiện ra lỗ hổng
Trong nhiều năm, người dùng đã dựa vào tính năng Ẩn Email của tôi để ngăn chặn việc địa chỉ email chính của họ bị thu thập bởi những kẻ gửi thư rác hoặc các nhà môi giới dữ liệu. Tuy nhiên, một báo cáo từ 404 Media, trích dẫn nhà nghiên cứu bảo mật Tyler Murphy, cho thấy hệ thống này không hoàn toàn an toàn như lời quảng cáo. Murphy, người đầu tiên đưa vấn đề này đến sự chú ý của Apple hơn một năm trước, đã chứng minh rằng kẻ tấn công có thể vượt qua lớp bảo vệ bí danh và phát hiện ra địa chỉ email thật của người dùng iCloud.
Một quá trình tiết lộ đáng lo ngại
Không giống như các giao thức tiết lộ có trách nhiệm tiêu chuẩn, lỗ hổng này vẫn chưa được vá mặc dù đã được báo cáo cho Apple từ lâu. Trong khi thông lệ ngành thường cho phép các công ty 90 ngày để xác minh và giải quyết các lỗ hổng bảo mật, trường hợp này đã kéo dài hơn 12 tháng. Theo các nguồn tin, Apple đã thông báo với nhà nghiên cứu rằng bản vá lỗi đã được triển khai vào tháng 3 năm nay; tuy nhiên, các thử nghiệm tiếp theo của các nhà điều tra đã xác nhận rằng cơ chế này vẫn có thể bị khai thác cho đến ngày nay. Apple đã liên hệ với nhà nghiên cứu, kêu gọi họ trì hoãn việc công khai thông tin cho đến khi bản vá lỗi hoàn chỉnh được triển khai đầy đủ, nhưng sự tồn tại dai dẳng của lỗi này đã khiến nhiều người dùng quan tâm đến quyền riêng tư bị ảnh hưởng.
Tại sao bạn nên cân nhắc các giải pháp thay thế
Ngoài lỗ hổng bảo mật cụ thể này, Apple cũng đang chuyển đổi các bí danh của mình sang tên miền phụ mới '@private.icloud.com'. Các chuyên gia về quyền riêng tư cảnh báo rằng sự thay đổi này có thể khiến các trang web và nhà quảng cáo dễ dàng xác định và chặn các địa chỉ email giả này, làm mất đi mục đích của việc sử dụng email giả.
Nếu bạn lo ngại về dấu vết kỹ thuật số của mình, có một số lựa chọn thay thế mạnh mẽ sau:
- SimpleLogin (của Proton): Một dịch vụ được đánh giá cao, cung cấp các công cụ quản lý thân thiện với người dùng cho các địa chỉ email giả trên tất cả các nền tảng.
- DuckDuckGo Email Protection: Một dịch vụ miễn phí, nhẹ, tạo ra các địa chỉ email giả '@duck.com' đồng thời loại bỏ các pixel theo dõi ẩn khỏi thư đến.
- Mozilla Firefox Relay: Cung cấp giao diện được đơn giản hóa để tạo và quản lý email giả thông qua một tiện ích mở rộng trình duyệt đơn giản.
Mặc dù Apple đã xây dựng một bộ công cụ bảo mật hàng đầu trong ngành, sự cố này là một lời nhắc nhở rõ ràng rằng ngay cả các tính năng bảo mật 'thần kỳ' cũng cần được giám sát liên tục. Cho đến khi bản vá lỗi chính thức được xác nhận, người dùng có thể muốn đánh giá lại sự phụ thuộc của họ vào hệ thống email giả gốc của Apple.