Hide My Email 爆私隱漏洞:iCloud+ 用戶要唔要即刻停用?
3C 產品

Hide My Email 爆私隱漏洞:iCloud+ 用戶要唔要即刻停用?

圖片:via Android Authority — https://www.androidauthority.com/apple-hide-my-email-vulnerability-3683561/
TechLab 編輯部(譯)·

alias 可能反查主 email,先清走高風險用法

先講結論:唔使即刻驚到停晒,但唔好再當佢一定遮到主 email

如果你用 iCloud+ Hide My Email 登記網購、會員、newsletter 或者 app 試用,今次值得停一停睇清楚。404 Media 同 EasyOptOuts 指,Hide My Email 有漏洞,攻擊者可能用一個隨機 alias 反查到背後主 email。404 Media 話佢哋用新開 alias 畀 EasyOptOuts 聯合創辦人 Tyler Murphy 核實,約五分鐘後就回覆咗對應真 email;Murphy 亦話,喺佢哋有限義工測試入面,100% Hide My Email 地址都可利用。呢度要講明:TechLab 冇親測,漏洞細節亦未公開,因為報道指問題仲可利用。

Hide My Email 本身幫到手

Apple 官方講法好簡單:Hide My Email 會生出獨一無二、隨機嘅 email,電郵再轉寄去你個人 inbox;你可以直接回覆,對方理論上睇唔到你主 email。iCloud+ 版可喺 Safari、Mail、iCloud 設定同部分 app 生成地址,Sign in with Apple 版就用 Private Email Relay。呢個設計最有用嘅位,係幫你逐個服務分開:邊間舖頭漏資料、邊個 newsletter 賣咗名單,你可以熄嗰個 alias,唔使交出你成個 Apple Account 嘅門牌。

今次危險位:alias 可能變索引

漏洞本身點做,404 Media 同 EasyOptOuts 都冇公開,呢個做法係啱嘅;公開到可以照抄,只會幫壞人。麻煩位係,用法上要重新當佢冇咁隔得開。Hide My Email 平時幫你逐個服務分開,本來就唔應該當匿名保證;一旦 alias 可以反查主 email,嗰層隔板就薄咗好多。垃圾 email 仲可以靠停用 alias 擋一擋,但身份串連、釣魚 email、撞密碼同 data breach 交叉比對,風險就會上去。

邊啲用法風險高啲

風險最高嗰批,係你本來就唔想對方知道真身嘅註冊:二手買賣、論壇、陌生 SaaS、AI 工具試用、外國網購、抽獎頁、一次性優惠、同任何你覺得「呢間公司遲早賣資料」嘅地方。香港日常最貼地嘅位,其實係會員登記同網購;好多店舖、餐飲積分、活動報名都叫你留 email。如果嗰個 alias 最後俾人反查到主 email,而主 email 又同 Apple Account、雲端相簿、銀行通知、工作帳戶有關,釣魚信就可以寫得貼身好多。

要唔要即刻停用?

暫時未必需要一刀切熄晒。用 Hide My Email 收折扣碼、newsletter、普通 app 註冊,佢仲有減 spam 嘅價值;但暫時唔好再當佢可以保住真 email。做法係先入 iPhone 設定:你個名 > iCloud > Hide My Email,睇返邊啲 alias 已經冇用、邊啲服務本身可疑,停用或者刪走。Sign in with Apple 嗰批就去「你個名 > Sign in with Apple」逐個睇。Apple 官方講,停用後會停止轉寄;刪除前要先停用。呢啲動作救唔返已經外洩嘅配對,但至少收細之後嘅攻擊面。

高風險帳戶要轉乾淨啲

如果你曾經用 Hide My Email 處理比較敏感嘅事,例如匿名社群、工作以外嘅聯絡、投訴、二手交易或者同真名唔想綁埋嘅服務,暫時要當嗰個 alias 可能同主 email 連得返。比較穩陣嘅做法係開一個獨立 email,唔連 Apple Account、唔連真名、密碼獨立同開雙重認證;原本嗰啲服務可以改 email 就慢慢改走。千祈唔好因為有 Hide My Email,就喺可疑網站重用密碼,或者用主 email 做所有救返帳戶嘅 email。

Apple 另一個尷尬改動

同一段時間,Apple 亦通知開發者,Sign in with Apple 同 iCloud+ Hide My Email 之後會統一用 private.icloud.com;舊 alias 會繼續轉寄。呢個同今次漏洞係兩件事,但放埋一齊睇,Hide My Email 個賣點有啲縮水:以前 @icloud.com alias 混喺普通 iCloud email 入面,網站好難單獨封;轉去專用 domain 後,想擋匿名註冊嘅網站就容易好多。換句話講,而家問題係,漏洞可能令 alias 隔唔住主 email;之後轉 domain,又可能令網站更易認出呢類匿名地址。iCloud+ 呢項功能短期內真係要睇 Apple 點補鑊。

下一步睇 Apple 點交代

截至 EasyOptOuts 6 月 30 日更新,佢哋話 Apple 再次表示漏洞已修好,但複驗後仍然未修好;404 Media 7 月 1 日報道亦話問題仲可利用,Apple 冇回覆多次查詢。普通用戶暫時最實際係審視 alias、少用主 email、收緊密碼同 2FA、留意釣魚信。靠 Hide My Email 做 spam 緩衝,仲可以小心用;靠佢隔開身份,等 Apple 清楚講明修補咗先好再放心。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook