PV Tech News – Một lỗ hổng trong tính năng Hide My Email thuộc dịch vụ iCloud+ có thể giúp kẻ xấu xác định địa chỉ email thật của người dùng, dù Apple đã nhận báo cáo từ giữa năm 2025, đến nay vẫn chưa có lời phản hồi chính thức về sự việc này.
Nhóm nghiên cứu bảo mật EasyOptOuts vừa công khai cảnh báo về một lỗ hổng cho phép liên kết địa chỉ email ẩn danh do Hide My Email tạo ra với hộp thư thật của người dùng. Hide My Email là tính năng dành cho thuê bao iCloud+ sinh ra một địa chỉ email tạm dùng để đăng ký tài khoản hoặc tải ứng dụng, sau đó chuyển tiếp thư về hộp thư chính mà không tiết lộ danh tính thật. Mục đích ban đầu của tính năng này là hạn chế thư rác, chặn theo dõi và giảm rủi ro khi một dịch vụ bên thứ ba bị rò rỉ dữ liệu.
Theo nhà đồng sáng lập EasyOptOuts, ông Tyler Murphy, nhóm đã thử nghiệm trên một số tình nguyện viên và ghi nhận toàn bộ địa chỉ Hide My Email được kiểm tra đều có thể bị truy ngược ra email thật bằng các công cụ tìm kiếm danh tính phổ biến. Ông cho biết đội ngũ chưa công bố chi tiết kỹ thuật của lỗ hổng vì lo ngại nguy cơ bị lợi dụng để tấn công diện rộng, đồng thời quy mô ảnh hưởng thực tế vẫn chưa được xác định rõ.

Đáng chú ý, đây không phải là lỗ hổng mới phát sinh. EasyOptOuts cho biết đã thông báo cho Apple từ tháng 6/2025. Đến tháng 3/2026, Apple phản hồi rằng vấn đề đã được xử lý, nhưng các thử nghiệm sau đó của nhóm nghiên cứu cho thấy lỗ hổng vẫn tồn tại nguyên vẹn. Sang tháng 5/2026, Apple tiếp tục xác nhận đang điều tra và đề nghị EasyOptOuts giữ kín thông tin để tránh rủi ro cho khách hàng. Tuy nhiên, nhóm nghiên cứu quyết định công bố vì cho rằng người dùng có quyền được biết địa chỉ email thật của họ có thể bị phát hiện.
Đến thời điểm hiện tại, Apple chưa đưa ra phản hồi chính thức về báo cáo này. Theo các nguồn tin, hãng được cho là đang chuẩn bị một bản cập nhật cho Hide My Email, trong đó có khả năng đổi tên miền của địa chỉ email ẩn danh từ “icloud.com” sang “private.icloud.com” nhằm giảm thiểu nguy cơ bị truy vết.
Về bản chất, lỗ hổng này không làm lộ nội dung email mà chỉ giúp bên thứ ba liên kết được danh tính thật đứng sau một địa chỉ ẩn danh, điều này vẫn đủ để ảnh hưởng đến quyền riêng tư, nhất là với người dùng từng dùng Hide My Email để đăng ký tại các dịch vụ nhạy cảm. Trong lúc chờ Apple xác nhận bản vá chính thức, người dùng iCloud+ nên hạn chế xem Hide My Email là lớp bảo vệ tuyệt đối, có thể cân nhắc kết hợp thêm các dịch vụ email trung gian khác hoặc theo dõi thông báo cập nhật từ Apple trong thời gian tới.
Sự việc một lần nữa cho thấy tính năng bảo mật của các hãng lớn vẫn có thể tồn tại lỗ hổng kéo dài nhiều tháng dù đã được báo cáo. Người dùng công nghệ nói chung nên duy trì thói quen cập nhật hệ điều hành và ứng dụng đầy đủ, đồng thời theo dõi các cảnh báo bảo mật từ nguồn uy tín để bảo vệ thông tin cá nhân tốt hơn. Đừng quên thường xuyên theo dõi Phong Vũ Tech News để cập nhật các tin tức công nghệ hữu ích nhé!
Nguồn: VTV
Bài viết liên quan:





