iPhone 16 được giới thiệu tại trụ sở Apple ở California, Mỹ, ngày 9/9/2024. (Ảnh: AP)
Theo trang 404 Media, lỗ hổng trong tính năng Hide My Email thuộc dịch vụ iCloud+ có thể cho phép kẻ xấu liên kết địa chỉ email ẩn danh với địa chỉ email thật của người sử dụng.
Hide My Email cho phép người dùng tạo địa chỉ email thay thế có tên miền iCloud để đăng ký tài khoản, tải phần mềm hoặc nhận ưu đãi mà không phải cung cấp email cá nhân. Thư gửi đến địa chỉ này sẽ được chuyển tiếp tới hộp thư thật, qua đó giúp hạn chế thư rác, hoạt động theo dõi và nguy cơ lộ thông tin khi một dịch vụ bị tấn công.
Lỗ hổng đã được nhóm Easy Opt Outs phát hiện. Nhà đồng sáng lập Tyler Murphy cho biết nhóm đã thử nghiệm với một số tình nguyện viên và có thể xác định email thật từ toàn bộ địa chỉ Hide My Email được kiểm tra bằng các công cụ tìm kiếm danh tính phổ biến.
Chi tiết kỹ thuật của lỗ hổng chưa được công bố do nguy cơ bị lợi dụng để tấn công người dùng. Quy mô ảnh hưởng thực tế cũng chưa được xác định.
Ông Murphy cho biết đã thông báo vấn đề cho Apple vào tháng 6/2025. Đến tháng 3/2026, Apple nói rằng lỗi đã được xử lý, nhưng các thử nghiệm sau đó cho thấy lỗ hổng vẫn tồn tại.
Tháng 5/2026, Apple cho biết vẫn đang điều tra và đề nghị nhóm nghiên cứu chưa công khai thông tin để tránh gây rủi ro cho khách hàng. Tuy nhiên, Easy Opt Outs quyết định công bố cảnh báo vì cho rằng người dùng cần biết địa chỉ email thật của họ có thể bị phát hiện.
Apple chưa đưa ra phản hồi chính thức về báo cáo. Hãng được cho là đang chuẩn bị cập nhật Hide My Email, trong đó có khả năng chuyển tên miền của địa chỉ ẩn danh từ “icloud.com” sang “private.icloud.com”.





