En Apple Hide My Email-sårbarhet kan gjøre det mulig for angripere å avsløre brukernes ekte e-postadresser. Det sier en sikkerhetsforsker som mener Apple fortsatt ikke har løst problemet fullt ut, selv om det har gått mer enn ett år siden selskapet mottok den første rapporten. Apple hevdet tidligere at feilen var rettet, men ifølge forskeren er brukerne fortsatt utsatt.

Sikkerhetsforsker oppdaget sårbarheten

Apple utviklet Hide My Email for å hjelpe brukere med å beskytte sine ekte e-postadresser. Funksjonen oppretter unike e-postalias som videresender meldinger til brukerens vanlige innboks. Dermed kan brukere registrere seg på nettsider, nyhetsbrev og nettjenester uten å oppgi sin egentlige e-postadresse.

Sikkerhetsforsker Tyler Murphy, medgründer av EasyOptOuts, oppdaget imidlertid en sårbarhet som kan avsløre den ekte e-postadressen bak et slikt alias.

Murphy rapporterte feilen til Apple og ventet i over ett år på en permanent løsning. Etter flere utsettelser valgte han å offentliggjøre problemet fordi han ikke lenger mente det var forsvarlig å vente.

Apple bekreftet rapporten, men problemet består

Murphy kontaktet Apple første gang i juni 2025, og selskapet bekreftet at rapporten var under vurdering.

I mars 2026 informerte Apple Murphy om at en nylig systemendring hadde løst problemet.

Murphy fortsatte imidlertid å teste funksjonen og oppdaget at sårbarheten fortsatt var til stede. Apple fortsatte etterforskningen frem til mai og ba samtidig Murphy om ikke å offentliggjøre detaljene mens arbeidet pågikk.

Teknologinettstedet 404 Media bekreftet også sårbarheten, men valgte å ikke publisere tekniske detaljer som angripere kunne utnytte mens Apple fortsatt arbeidet med en løsning.

Apple planlegger en ny sikkerhetsoppdatering

Etter flere samtaler med Murphy opplyste Apple at selskapet i stedet ville rette sårbarheten i en kommende sikkerhetsoppdatering.

Da rapporten ble publisert, hadde Apple fortsatt ikke lansert en fullstendig løsning, selv om selskapet tidligere hadde opplyst at problemet allerede var rettet.

Den vedvarende forsinkelsen reiser derfor nye spørsmål om hvor pålitelig en av Apples viktigste personvernfunksjoner egentlig er.

Nytt domene kan skape kompatibilitetsproblemer

Apple planlegger også å forenkle sine e-postbaserte personverntjenester ved å flytte både Hide My Email og Sign in with Apple til det nye underdomenet @private.icloud.com.

I dag benytter selskapet domenene @icloud.com og @privaterelay.appleid.com til disse tjenestene.

Endringen skal gjøre systemet mer enhetlig, men kan samtidig skape nye utfordringer. Enkelte nettsteder og nettjenester kan avvise e-postadresser fra det nye domenet, noe som kan gjøre funksjonen mindre nyttig i praksis.

Brukerne bør ikke stole fullt og helt på funksjonen

Den pågående Apple Hide My Email-sårbarheten viser at personvernfunksjoner krever kontinuerlige sikkerhetskontroller og raske oppdateringer for å gi god beskyttelse. Apple har riktignok bekreftet problemet og lovet flere oppdateringer, men Murphys undersøkelser tyder på at Hide My Email fortsatt ikke skjuler brukernes ekte e-postadresser i alle situasjoner. Inntil Apple lanserer en permanent løsning, bør brukerne se funksjonen som et ekstra lag med personvern – ikke som en fullstendig beskyttelse.


0 responses to “Sårbarhet i Apple Hide My Email avslører fortsatt brukernes ekte e-postadresser”