Apples «Skjul min e-post»-funksjon kan gjøre det motsatte: den virkelige adressen er i fare

- Ole Andersen

Når du registrerer deg for en ny nettjeneste, betyr deling av e-postadressen din ofte at du utsetter deg selv for spam, profilering eller i verste fall konsekvensene av mulige datainnbrudd. For å begrense disse risikoene, Eple gjør tilgjengelig for abonnenter iCloud+ funksjonen «Skjul e-posten min»designet for å lage unike og tilfeldige fiktive adresser som fungerer som mellomledd mellom brukeren og nettsteder eller applikasjoner.

EN sårbarhet oppdaget av sikkerhetsforsker Tyler Murphymedgründer av EasyOptOutset selskap som spesialiserer seg på fjerning av personopplysninger fra såkalte «datameglere», som rapporterte til Apple da det kunne undergrave nettopp dette løftet: under noen omstendigheter ville det faktisk være mulig spore den virkelige e-postadressen som er skjult bak en av disse aliasene. Problemet ville blitt rapportert til Cupertino-giganten i lang tid, men den endelige løsningen har ennå ikke kommet.

Hvordan «Skjul e-posten min» fungerer

«Skjul min e-post»-funksjonen er en del av tjenestene som er inkludert i iCloud+ og er utformet for å forhindre at brukere må oppgi sin personlige e-postadresse hver gang de registrerer seg på et nettsted, foretar et online kjøp eller oppretter en ny konto. A genereres automatisk i stedet for den faktiske e-posten tilfeldig adresse knyttet til iCloud-domenetsatt sammen av tilsynelatende meningsløse ord og tegn.

Bilde

E-poster sendt til denne adressen videresendes automatisk til brukerens innboks, uten at avsenderen kjenner den opprinnelige adressen. På denne måten samhandler nettsteder og applikasjoner kun med aliaset generert av Apple, mens den virkelige e-postadressen skal forbli skjult.

Du kan når som helst også slette et alias eller slutte å videresende det, slik at du ikke kan motta flere meldinger. Dette er et spesielt nyttig verktøy for å redusere mengden uønsket kommunikasjon og begrense spredningen av dine personopplysninger i tilfelle en nettjeneste blir utsatt for en IT-brudd. Det er ikke en sjelden hendelse: I de siste månedene har det for eksempel vært snakk om det påståtte datainnbruddet som ville ha involvert rundt 89 millioner Steam-kontoer, en sak som har satt fokus på viktigheten av å beskytte ens personopplysninger selv når man registrerer seg for nettjenester.

Hvordan sårbarheten ble oppdaget

Sårbarheten ville tillate koble til noen adresser generert av «Skjul e-posten min» til den tilsvarende faktiske e-postadressen til brukeren.

For å verifisere kritikaliteten ble det opprettet et nytt alias via Apple-tjenesten. I løpet av noen få minutter var Tyler Murphy i stand til å spore den tilknyttede ekte e-postadressen, og bekreftet gyldigheten av teknikken. I tester utført av EasyOptOuts med et begrenset antall frivillige, ble alle adresser som ble analysert funnet å være sårbare. Dette betyr imidlertid ikke at alle Apple-kontoer sikkert er eksponert eller at metoden kan brukes på alle brukere uten forskjell: det faktiske omfanget av problemet gjenstår fortsatt å avklare.

Cupertino har visst om problemet i over ett år

Det mest delikate ved saken gjelder forvaltningen av rapporten. Sårbarheten var rapportert til Apple i juni 2025sammen med instruksjonene som trengs for å gjenskape problemet. I løpet av de påfølgende månedene bekreftet selskapet at det hadde mottatt rapporten og jobbet med en løsning.

I mars 2026 ville Apple ha kommunisert at problemet var rettet, men påfølgende kontroller utført av forskeren ville ha vist at feilen kunne fortsatt utnyttes. I mai ba selskapet angivelig om ikke å offentliggjøre detaljene mens etterforskningen fortsatte, og forklarte at det fortsatt jobbet med saken. Gruppen ledet av Tim Cook ville senere bekrefte det rettelsen vil bli distribuert i en fremtidig sikkerhetsoppdateringuten å angi en nøyaktig dato for utgivelsen. På det tidspunktet historien ble offentliggjort, var sårbarheten fortsatt til stede.

Detaljer om feilen er ikke offentliggjort

I motsetning til mange sårbarheter som allerede er fikset, i dette tilfellet de tekniske detaljene om feilen ble ikke offentliggjort. Dette er en vanlig praksis i cybersikkerhetsindustrien når et problem fortsatt er åpent: Å offentliggjøre all informasjon kan lette alle utnyttelsesforsøk før en løsning er tilgjengelig.

Av denne grunn delte Tyler Murphy metoden med Apple, men unngikk å avsløre den fullstendige tekniske beskrivelsen. Målet er redusere risikoen for at sårbarheten blir utnyttet før de tekniske detaljene kan brukes til eventuelle angrep.