Обновление 2. Исследователь безопасности, обнаруживший нарушение конфиденциальности, сообщает, что Apple уже исправила это.
Начиная с iOS 15.4 и watchOS 8.5 приложение «Почта» на часах больше не пропускает IP-адрес при загрузке удаленного контента. Удаленный контент блокируется на часах, даже если включена Защита конфиденциальности почты…
Оригинальная история:
Обновление: та же команда теперь обнаружил что Apple Watch также не используют iCloud Private Relay.
Если вы открываете ссылки, отправленные вам через iMessage на Apple Watch, ваш реальный IP-адрес будет раскрыт.
Разработчик и исследователь безопасности обнаружил, что официальное приложение Apple Watch Mail не использует собственную функцию защиты конфиденциальности почты компании…
Эта функция была представлена как часть iOS 15 и рекламировалась Apple как предлагающая три формы защиты конфиденциальности.
О защите конфиденциальности почты
Apple заявляет, что эта функция защищает ваше местоположение, предотвращает отслеживание и не позволяет маркетологам видеть, открыли ли вы электронное письмо или нет.
Электронные письма, которые вы получаете, могут содержать скрытые пиксели, которые позволяют отправителю электронного письма получать информацию о вас. Как только вы открываете электронное письмо, отправитель может собирать информацию о вашей активности в Почте без прозрачности и возможности контролировать, какая информация передается. Отправители электронной почты могут узнать, когда и сколько раз вы открывали их электронную почту, пересылали ли вы электронную почту, ваш адрес интернет-протокола (IP) и другие данные, которые можно использовать для создания профиля вашего поведения и определения вашего местоположения.
Если вы решите включить его, Защита конфиденциальности почты поможет защитить вашу конфиденциальность, не позволяя отправителям электронной почты, включая Apple, получать информацию о ваших действиях в Почте. Когда вы получаете электронное письмо в приложении «Почта», вместо того, чтобы загружать удаленное содержимое при открытии электронного письма, Mail Privacy Protection загружает удаленное содержимое в фоновом режиме по умолчанию, независимо от того, как вы взаимодействуете с электронной почтой. Apple не узнает никакой информации о содержании.
Кроме того, весь удаленный контент, загруженный Mail, маршрутизируется через несколько прокси-серверов, что не позволяет отправителю узнать ваш IP-адрес. Вместо того, чтобы делиться вашим IP-адресом, который может позволить отправителю электронной почты узнать ваше местоположение, прокси-сеть Apple будет случайным образом назначать IP-адрес, который соответствует только региону, в котором находится ваше устройство. В результате отправители электронной почты будут получать только общую информацию, а не чем информация о вашем поведении. Apple не имеет доступа к вашему IP-адресу.
Эта функция активируется в меню «Настройки» > «Почта» > «Защита конфиденциальности».
Приложение Apple Watch Mail не может его использовать
После включения эта функция работает с приложением Apple Mail на iPhone. Однако это не применяется, если вы просматриваете электронные письма или даже их предварительный просмотр на своих часах. Упущение обнаружил Mysk.
Внимание: защита конфиденциальности почты, представленная в iOS 15, не распространяется на приложение «Почта» на Apple Watch. И приложение «Почта», и предварительный просмотр уведомлений на Apple Watch загружают удаленный контент, используя ваш реальный IP-адрес.#Кибербезопасность #iOS pic.twitter.com/o0lh9rPQTd
— Мыск ???? (@mysk_co) 15 ноября 2021 г.
Он смог продемонстрировать это, разместив изображение на своем собственном сервере, вставив его в электронное письмо, а затем отправив его. Затем он проверил IP-адрес, с которого было загружено изображение, и обнаружил, что это был настоящий IP-адрес часов, а не прокси-адрес, который следует использовать с включенной функцией конфиденциальности.