watchOS 8.5 устраняет уязвимость в безопасности приложения Mail, которая могла привести к утечке IP-адреса пользователя при загрузке удаленного контента, как выяснили исследователи безопасности.
В прошлом году стало известно, что функция защиты конфиденциальности почты Apple была подорвана отсутствием поддержки Apple Watch. Защита конфиденциальности почты — это новая функция, представленная в iOS 15, iPadOS 15 и macOS Monterey, которая скрывает ваш IP-адрес, чтобы отправители не могли определить ваше местоположение или связать ваши почтовые привычки с другой вашей онлайн-активностью. Она также не позволяет отправителям отслеживать, открыли ли вы электронное письмо, сколько раз вы его просмотрели и пересылали ли вы его.
Функция работает путем направления всего контента, загружаемого приложением Mail, через несколько прокси-серверов для удаления вашего IP-адреса, а затем назначает случайный IP-адрес, соответствующий вашему приблизительному местоположению, благодаря чему отправители электронной почты видят общую информацию, а не конкретную информацию о вас.
В юридической документации Apple о Защите конфиденциальности почты указано, что функция доступна только для iPhone, iPad и Mac. Однако исследователи безопасности и разработчики Talal Haj Bakry и Tommy Mysk обнаружили, что поскольку Apple Watch не скрывает IP-адрес получателя, это может поставить под угрозу общую безопасность, обеспечиваемую Защитой конфиденциальности почты.
Apple Watch загружает удаленный контент, такой как изображения, используя реальный IP-адрес получателя, как при получении уведомления по почте, так и при открытии электронного письма. Это означает, что даже для пользователей, которые включили Защиту конфиденциальности почты на своих iPhone, их IP-адрес мог быть раскрыт.
Хотя Защита конфиденциальности почты является функцией, эксклюзивной для iOS 15, iPadOS 15 и macOS Monterey, тот факт, что простое получение уведомления по почте на Apple Watch могло раскрыть IP-адрес пользователя и обойти Защиту конфиденциальности почты на других устройствах, казалось упущением. Теперь Бакри и Мыск обнаружили, что Apple исправила эту проблему в watchOS 8.5.
Good news: As of iOS 15.4 and watchOS 8.5 the Mail app on the watch no longer leaks the IP address when downloading remote content. Remote content is blocked on the watch even when Mail Privacy Protection is on. Now you get this prompt: https://t.co/Ocs0iXt4YM pic.twitter.com/Yea2fQxWlO
— Mysk 🇨🇦🇩🇪 (@mysk_co) March 14, 2022
Начиная с watchOS 8.5, загрузка удаленного контента автоматически блокируется на Apple Watch, и вместо этого предоставляется опция «Загрузить контент напрямую». Пользователи также могут выбрать «Всегда загружать контент напрямую» для всех новых электронных писем или «Спросить о загрузке контента» для каждого письма отдельно. Это улучшение не было включено в примечания к выпуску watchOS 8.5.
watchOS 8.5 был выпущен для общественности вчера, и обновление включает ряд других улучшений, в том числе обновления уведомлений о нерегулярном сердечном ритме, разработанные для улучшения идентификации фибрилляции предсердий, аудиоподсказки в тренировках Apple Fitness+, возможность авторизации покупок и подписок Apple TV, а также возможность восстановить Apple Watch с помощью iPhone.
