Если пользователь просмотрел письмо на Apple Watch, а не на iPhone, его реальный IP-адрес будет виден отправителю.
Разработчик и исследователь под псевдонимом Mysk обнаружил , что в официальном приложении Apple Watch Mail разработанная Apple функция безопасности Mail Privacy Protection не работает.
Эта функция был представлена в iOS 15 и предлагает три вида защиты конфиденциальности. По словам Apple, она обеспечивает безопасность геолокационных данных, защищает от отслеживания и блокирует маркетинговым компаниям возможность видеть, открывал пользователь электронное письмо или нет.
Приходящие по электронной почте письма могут иметь скрытые пиксели, позволяющие отправителям узнавать информацию о получателе. Как только пользователь откроет такое письмо, отправитель получит сведения о его действиях в почте, и у получателя нет никакой возможности контролировать передаваемые сведения. Отправитель может узнавать, когда и сколько раз получатель открывал письмо и пересылал ли его еще кому-то, а также узнавать IP-адрес и другие данные, полезные для создания профиля пользователя и определения его местоположения.
Mail Privacy Protection позволяет защитить конфиденциальность путем блокировки отправителям писем (в том числе самой компании Apple) возможности узнавать о действиях пользователя в почте. При получении письма через приложение Apple Mail, вместо того, чтобы загружать удаленный контент при открытии письма, Mail Privacy Protection по умолчанию загружает удаленный контент в фоновом режиме, независимо от того, открыл пользователь письмо или нет. При этом никаких данных о содержимом Apple не получает.
Вдобавок, весь загружаемый приложением Apple Mail удаленный контент маршрутизируется через множество прокси-серверов, благодаря чему отправитель не может узнать IP-адрес получателя. Apple не передает IP-адрес отправителю, что позволило бы ему определить местоположение получателя. Сеть прокси-серверов в произвольном порядке присваивает IP-адрес, соответствующий только региону, в котором находится устройство. У самой Apple также нет доступа к IP-адресам получателей.
Функцию можно активировать для Apple Mail на iPhone, но она не работает, если просматривать письма (или даже только превью) на Apple Watch, отметил Mysk.
Исследователь продемонстрировал свое открытие, загрузив изображение на свой сервер, вставив его в электронное письмо и отправив. Когда Mysk проверил IP-адрес, по которому было загружено отправленное им изображение, то увидел реальный IP-адрес Apple Watch.
Наш канал — питательная среда для вашего интеллекта