В watchOS 8.5 исправлена уязвимость в почтовом приложении, которая может привести к утечке IP-адреса пользователя при загрузке удаленного контента.
В прошлом году стало известно, что функция защиты конфиденциальности почты Apple была подорвана из-за отсутствия поддержки Apple Watch. Функция «Защиты конфиденциальности в Почте» была введена в iOS 15, iPadOS 15 и macOS Monterey и скрывала IP-адрес, чтобы отправители не могли определить ваше местоположение или связать предпочтения в работе с электронной почтой с вашей другой онлайн-активностью. Она также не позволяет отправителям отслеживать, открывали ли вы письмо, сколько раз вы это делали и пересылали ли вы его.
Функция работает путём маршрутизации всего содержимого, загружаемого приложением «Почта», через несколько прокси-серверов, чтобы скрыть ваш IP-адрес, а затем назначает случайный IP, соответствующий вашему региону, в результате чего отправители электронной почты видят общую, а не конкретную информацию о вас.
В юридической документации Apple по защите конфиденциальности почты указано, что эта функция доступна только для iPhone, iPad и Mac, однако исследователи безопасности Талал Хадж Бакри и Томми Мыск обнаружили, что поскольку часы Apple Watch не скрывают IP-адрес получателя, то могут нарушить общую безопасность.
Apple Watch загружают контент, например, изображения, используя реальный IP-адрес получателя, как при получении уведомления от почтового приложения, так и при открытии письма. Это означает, что даже для пользователей, включивших «Защиту конфиденциальности в Почте» на iPhone, их IP-адрес может быть раскрыт. Сегодня Бакри и Мыск обнаружили, что Apple исправила уязвимость в watchOS 8.5.
Ещё по теме: