ثغرة أمنية في ميزة «إخفاء بريدي الإلكتروني» من آبل تركت ملايين مشتركي iCloud Plus معرضين للخطر بشكل محتمل — حيث أصبحت عناوين بريدهم الإلكتروني الحقيقية مرئية بهدوء لأي شخص مستعد لاستخدام أداة بحث هوية أساسية. هذا ليس خطرًا نظريًا. وفقًا لتايلر مورفي، الشريك المؤسس لخدمة Easy Opt Out، كان كل عنوان من عناوين «إخفاء بريدي الإلكتروني» التي تم اختبارها قابلاً للاستغلال.
Summary
أهم النقاط
- ثغرة في خدمة «إخفاء بريدي الإلكتروني» من آبل تتيح لأي شخص كشف عنوان البريد الإلكتروني الحقيقي للمستخدم باستخدام أدوات بحث هوية متاحة للعامة.
- أبلغ تايلر مورفي من Easy Opt Out شركة آبل عن الخطأ في يونيو 2025؛ وادعت آبل أنها أصلحت المشكلة في مارس 2026، لكن الثغرة استمرت.
- أظهرت الاختبارات على متطوعين معدل استغلال بنسبة 100% عبر جميع عناوين «إخفاء بريدي الإلكتروني» التي تم اختبارها.
- خططت آبل لتحديثات تشمل تغيير النطاق من icloud.com إلى private.icloud.com، رغم أن الجدول الزمني للإصلاح الكامل لا يزال غير واضح.
- ينصح الخبراء مشتركي iCloud Plus بالتوقف مؤقتًا عن استخدام «إخفاء بريدي الإلكتروني» حتى يتم حل المشكلة.
ثغرة أمنية تكشف عناوين البريد الحقيقية في ميزة «إخفاء بريدي الإلكتروني» من آبل
تم بناء ميزة «إخفاء بريدي الإلكتروني» على وعد بسيط: تسجّل في موقع ويب باستخدام اسم مستعار يمكن التخلص منه تحت نطاق icloud.com، ويبقى صندوق بريدك الفعلي غير مرئي. الاسم المستعار يمتص الرسائل المزعجة، وينتهي في الوقت المحدد، ويحافظ على نظافة هويتك. مقابل حوالي دولار واحد شهريًا هي تكلفة iCloud Plus في فئة الاشتراك الأساسية، يبدو الأمر كأنه ممارسة متينة للنظافة الخصوصية.
هذا الوعد يحتوي على شرخ خطير. قال مورفي لموقع 404 Media، الذي كان أول من أبلغ عن الثغرة وتحقق منها، إن مواقع البحث عن الأشخاص المتاحة للعامة تجعل من السهل ربط عنوان «إخفاء بريدي الإلكتروني» بتفاصيل شخصية أخرى، ما يعني أن أي شخص لديه دافع كافٍ — مثل وسيط بيانات أو متعقب أو محتال — لا يحتاج إلى مهارات اختراق متقدمة للرجوع من الاسم المستعار إلى صندوق البريد الحقيقي.
أجرت Easy Opt Out اختبارات مضبوطة مع متطوعين، وكانت النتائج صارخة: 100% من عناوين «إخفاء بريدي الإلكتروني» التي تم اختبارها يمكن استخدامها لكشف عنوان البريد الإلكتروني الحقيقي للمستخدم عبر أدوات بحث الهوية المتاحة لعامة الناس. رفض مورفي وصف الآلية الدقيقة للاستغلال علنًا، وامتنع موقع 404 Media عن نشر التفاصيل التقنية وقت إعداد التقرير لمنع الاستغلال الجماعي الفوري.
تزداد صعوبة تجاهل التداعيات بالنظر إلى طبيعة هذه الميزة. فميزة «إخفاء بريدي الإلكتروني» موجودة تحديدًا للمواقف التي يكون فيها التعرض مصحوبًا بعواقب حقيقية — مثل التسجيل في خدمات قد تتعرض لاحقًا للاختراق، أو الحد من رؤية وسطاء البيانات، أو حماية المستخدمين في الظروف الحساسة. حذر مورفي بشكل خاص من أن «الأشخاص الذين يعتمدون على ميزة إخفاء بريدي الإلكتروني من أجل السلامة قد يكونون معرضين للخطر»، وهي عبارة ترفع هذه المشكلة إلى ما هو أبعد من مجرد مشكلة تقنية متخصصة.
الاكتشاف والإبلاغ وجدول استجابة آبل
الاكتشاف المبكر والإبلاغ في يونيو 2025
أبلغ مورفي شركة آبل لأول مرة عن الثغرة في يونيو 2025 — أي أكثر من عام قبل الكشف العلني. هذا الجدول الزمني وحده يستحق التوقف عنده. ميزة خصوصية قيد الاستخدام التجاري النشط، مع وجود ثغرة أمنية معروفة ومؤكدة، بقيت دون تصحيح طوال عام كامل من تعرض المستخدمين.
ادعاء آبل إصلاح المشكلة في مارس 2026 واستمرار الخطأ
في مارس 2026، أبلغت آبل مورفي بأن المشكلة قد تمت معالجتها. تحقّق مورفي. لكنها لم تُصلح. ظلت الثغرة قابلة للاستغلال بالكامل بعد عملية الإصلاح المزعومة من آبل، ما يثير تساؤلات حول مدى صرامة الاختبارات الداخلية التي سبقت هذا التأكيد.
الخلاف حول الكشف العلني
بحلول مايو 2026، أقرت آبل بأنها لا تزال تحقق في المشكلة وطلبت من مورفي تأجيل الإعلان العلني. كانت رسالة آبل مباشرة: «لتجنب تعريض عملائنا للخطر، نود منك عدم الكشف عن هذه المعلومات حتى يكتمل تحقيقنا». لم يوافق مورفي. خرج إلى العلن على أي حال، مجادلًا بأن المستخدمين يستحقون معرفة خطر استمر لأكثر من عام دون حل.
يعكس هذا الخلاف توترًا حقيقيًا في أبحاث الأمن. فالكشف المنسق — حيث يمنح الباحثون الشركات وقتًا لتصحيح الثغرات قبل النشر — هو ممارسة قياسية وعادة ما يكون وقائيًا. لكن عندما تخفق شركة في الالتزام بموعد الإصلاح الذي حددته لنفسها، وتستمر في التأجيل، ولا تزال لا تقدم تاريخًا مؤكدًا للحل، يواجه الباحثون قرارًا صعبًا. موقف مورفي: استمرار الصمت يعني استمرار تعرض المستخدمين الذين لا يعلمون أن أداة الخصوصية الخاصة بهم مخترقة.
لم ترد آبل على طلبات التعليق من كل من 404 Media وCNET بعد الكشف العلني.
التداعيات على المستخدمين والتحديثات المخطط لها من آبل
بالنسبة لأي شخص يستخدم حاليًا ميزة «إخفاء بريدي الإلكتروني»، فإن النصيحة العملية من خبراء الأمن واضحة: التوقف مؤقتًا عن استخدام الميزة حتى تؤكد آبل وجود إصلاح فعّال. الخطر ليس نظريًا — فكل اسم مستعار استخدمته يمكن تتبعه محتملًا إلى صندوق بريدك الحقيقي من قبل أي شخص لديه إمكانية الوصول إلى أدوات وسطاء البيانات القياسية.
أشارت آبل إلى أنها تعمل على عدة تحديثات للميزة هذا الصيف. أكثر تغيير ملموس تم الكشف عنه هو التحول في النطاق من icloud.com إلى private.icloud.com. لم يتم توضيح المنطق وراء هذا التغيير تحديدًا بشكل علني، كما أن بنية النطاق الفرعي الجديد تحمل تعقيداتها الخاصة.
إذا بدأت المواقع والخدمات في التعرف على العناوين التي تنتهي بـprivate.icloud.com وحظرها — وهو احتمال واقعي، إذ إن العديد من المنصات تضع علامات بالفعل أو ترفض نطاقات الأسماء المستعارة المعروفة — فقد يجد مستخدمو «إخفاء بريدي الإلكتروني» أنفسهم مجبرين على مشاركة عناوينهم الحقيقية مرة أخرى. سيؤدي ذلك فعليًا إلى تقويض الغرض الأساسي من الميزة. وما إذا كانت آبل قد أخذت هذا الأثر اللاحق في الحسبان ضمن تخطيط التحديثات لا يزال سؤالًا مفتوحًا.
ليست هذه هي المرة الأولى التي يحدث فيها تصادم بين علامة آبل التجارية في مجال الخصوصية والأداء الفعلي لأدوات الخصوصية لديها. ففي عام 2022، تبيّن أن تطبيقات iPhone ترسل بيانات تحليلات إلى آبل حتى مع تعطيل إعداد «تحليلات iPhone». وفي عام 2023، تبيّن أن ميزة عشوائية عنوان MAC المصممة لإخفاء هوية اتصالات Wi-Fi كانت تكشف عناوين MAC الحقيقية للمستخدمين بدلًا من ذلك. كل حادثة من هذه الحوادث نالت من الأساس نفسه: السمعة التي بنتها آبل على مدى سنوات كشركة تأخذ خصوصية المستخدمين على محمل الجد بشكل افتراضي.
تختلف ثغرة «إخفاء بريدي الإلكتروني» في جانب رئيسي واحد — فهي تؤثر في ميزة يقوم المستخدمون بتفعيلها صراحة لأنهم يريدون حماية أنفسهم. الفجوة بين التوقع والواقع هي الأوسع تحديدًا في الموضع الذي تكون فيه المخاطر في أعلى مستوياتها.
الأسئلة الشائعة
ما هي الثغرة المكتشفة في خدمة «إخفاء بريدي الإلكتروني» من آبل؟
ثغرة أمنية تتيح للمهاجمين كشف عناوين البريد الإلكتروني الحقيقية للمستخدمين المرتبطة بأسماء «إخفاء بريدي الإلكتروني» المستعارة الخاصة بهم، باستخدام أدوات بحث هوية أساسية ومتاحة للعامة. أظهرت اختبارات Easy Opt Out معدل استغلال بنسبة 100% عبر جميع العناوين التي تم اختبارها.
متى أصبحت آبل على علم لأول مرة بخطأ «إخفاء بريدي الإلكتروني»؟
تم إخطار آبل بالثغرة في يونيو 2025 من قبل تايلر مورفي، الشريك المؤسس لخدمة Easy Opt Out.
هل أصلحت آبل الخطأ في ميزة «إخفاء بريدي الإلكتروني»؟
ادعت آبل أنها أصلحت المشكلة في مارس 2026، لكن مورفي أكد أن الثغرة لا تزال موجودة بعد ذلك التاريخ. وحتى تاريخ الكشف العلني في يوليو 2026، لم تكن آبل قد أكدت وجود حل فعّال.
ما الإجراءات التي تخطط لها آبل لتحسين أمان ميزة «إخفاء بريدي الإلكتروني»؟
تخطط آبل لتحديث ميزة «إخفاء بريدي الإلكتروني» عبر تغيير نطاق البريد الإلكتروني من icloud.com إلى private.icloud.com، إلى جانب تحديثات أخرى متوقعة في وقت لاحق من صيف 2026. لم يتم تأكيد ما إذا كان هذا سيغلق الثغرة بالكامل.
{“@context”:”https://schema.org”,”@type”:”FAQPage”,”mainEntity”:[{“@type”:”Question”,”name”:”ما هي الثغرة المكتشفة في خدمة «إخفاء بريدي الإلكتروني» من آبل؟”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”ثغرة أمنية تتيح للمهاجمين كشف عناوين البريد الإلكتروني الحقيقية للمستخدمين المرتبطة بأسماء «إخفاء بريدي الإلكتروني» المستعارة الخاصة بهم، باستخدام أدوات بحث هوية أساسية ومتاحة للعامة. أظهرت اختبارات Easy Opt Out معدل استغلال بنسبة 100% عبر جميع العناوين التي تم اختبارها.”}},{“@type”:”Question”,”name”:”متى أصبحت آبل على علم لأول مرة بخطأ «إخفاء بريدي الإلكتروني»؟”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”تم إخطار آبل بالثغرة في يونيو 2025 من قبل تايلر مورفي، الشريك المؤسس لخدمة Easy Opt Out.”}},{“@type”:”Question”,”name”:”هل أصلحت آبل الخطأ في ميزة «إخفاء بريدي الإلكتروني»؟”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”ادعت آبل أنها أصلحت المشكلة في مارس 2026 ، لكن مورفي أكد أن الثغرة لا تزال موجودة بعد ذلك التاريخ. وحتى تاريخ الكشف العلني في يوليو 2026، لم تكن آبل قد أكدت وجود حل فعّال.”}},{“@type”:”Question”,”name”:”ما الإجراءات التي تخطط لها آبل لتحسين أمان ميزة «إخفاء بريدي الإلكتروني»؟”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”تخطط آبل لتحديث ميزة «إخفاء بريدي الإلكتروني» عبر تغيير نطاق البريد الإلكتروني من icloud.com إلى private.icloud.com ، إلى جانب تحديثات أخرى متوقعة في وقت لاحق من صيف 2026. لم يتم تأكيد ما إذا كان هذا سيغلق الثغرة بالكامل.”}}]}
تم إعداد المقال بمساعدة الذكاء الاصطناعي ومراجعته من قبل الفريق التحريري.

