更新 2: プライバシーの欠陥を発見したセキュリティ研究者は、Apple がこれを修正したと報告しています。

iOS 15.4およびwatchOS 8.5以降、Watchのメールアプリはリモートコンテンツのダウンロード時にIPアドレスを漏洩しなくなりました。メールプライバシー保護がオンになっている場合でも、Watch上でリモートコンテンツはブロックされます。

原作：

更新: 同じチームが、Apple Watch も iCloud プライベートリレーを使用していないことを発見しました。

Apple Watch で iMessage 経由で送信されたリンクを開くと、実際の IP アドレスが公開されます。

開発者兼セキュリティ研究者が、Apple Watch の公式メールアプリが同社独自のメールプライバシー保護機能を使用していないことを発見しました…

この機能はiOS 15の一部として導入され、3つの形式のプライバシー保護を提供するものとしてAppleによって宣伝されました。

メールのプライバシー保護について

Appleによれば、この機能はユーザーの位置情報を保護し、追跡を防止し、ユーザーが電子メールを開いたかどうかをマーケティング担当者が確認できないようにする。

受信するメールには、送信者があなたに関する情報を把握できる隠しピクセルが含まれている場合があります。メールを開くとすぐに、送信者はあなたのメールアクティビティに関する情報を、透明性や共有される情報の管理なしに収集することができます。メールの送信者は、あなたがいつ、何回メールを開いたか、メールを転送したかどうか、インターネットプロトコル（IP）アドレスなど、あなたの行動プロファイルを構築し、あなたの位置情報を把握するために使用できるデータを知ることができます。

メールプライバシー保護を有効にすると、Appleを含むメール送信者があなたのメールアクティビティに関する情報を取得するのを防ぎ、プライバシーを保護します。メールアプリでメールを受信すると、メールを開いたときにリモートコンテンツをダウンロードするのではなく、メールをどのように操作したかに関係なく、デフォルトでバックグラウンドでリモートコンテンツをダウンロードします。Appleはコンテンツに関する情報を一切取得しません。

さらに、メールによってダウンロードされるすべてのリモートコンテンツは複数のプロキシサーバーを経由してルーティングされるため、送信者があなたのIPアドレスを知ることはできません。あなたのIPアドレスを共有するとメールの送信者があなたの位置情報を知ることができるため、Appleのプロキシネットワークは、あなたのデバイスが所在する地域にのみ対応するIPアドレスをランダムに割り当てます。その結果、メールの送信者はあなたの行動に関する情報ではなく、一般的な情報のみを受け取ります。AppleはあなたのIPアドレスにアクセスしません。

この機能は、「設定」>「メール」>「プライバシー保護」で有効になります。

この機能を有効にすると、iPhoneのAppleメールアプリで動作します。ただし、Apple Watchでメールを閲覧する場合、あるいはメールのプレビューを表示する場合、この機能は適用されません。この抜け漏れはMysk氏によって発見されました。

彼は、自身のサーバーに画像をホストし、それをメールに埋め込んで送信することで、このことを実証しました。そして、画像をダウンロードしたIPアドレスを確認したところ、それがWatchの実際のIPアドレスであり、プライバシー機能が有効になっている場合に使用されるはずのプロキシIPアドレスではないことが分かりました。

pracool.com を Google ニュース フィードに追加します。