联系我们:[email protected] | 官方客服热线
苹果的“隐藏我的邮箱”功能,该功能旨在为付费用户提供临时的、以 @icloud.com 或 @privaterelay.appleid.com 结尾的电子邮件地址。这些地址会将收到的邮件自动转发到用户真实邮箱,以防止数据追踪和垃圾邮件。然而,数据隐私公司 EasyOptOuts 的联合创始人 Tyler Murphy 指出,这一机制存在一个重大的安全隐患。
为了证实这一缺陷,404 Media 创建了一个新的隐藏邮箱地址,并让 Murphy 进行测试。结果显示,Murphy 在大约五分钟内就成功找到了与该隐藏地址关联的真实 Apple ID 邮箱。
Murphy 提到,尽管他的测试样本有限,但迄今为止,他在所有测试过的隐藏邮箱上都成功复现了此漏洞,成功率达到了 100%。IT之家在此提醒,由于此漏洞的具体利用方式尚未公布,目前尚不清楚是否有第三方已利用该漏洞窃取用户信息。
更令人担忧的是该漏洞的修复进度。EasyOptOuts 在 2025 年 6 月首次向 Apple 安全团队报告了此漏洞的复现步骤。到了 2026 年 3 月,Apple 支持部门声称已通过后端系统修复了此问题,但独立验证显示漏洞依旧存在。同年 5 月,Apple 工程团队要求研究人员在继续调查期间保持沉默,并承诺在“未来几周内”推出安全更新。由于修复进程的长期拖延,以及研究团队认为用户有权了解其数据可能面临的风险,他们最终决定公开披露此漏洞。
Murphy 警告说,由于公开的个人信息目录可以轻松地将邮箱地址与家庭住址、电话号码等个人信息关联起来,那些依赖此匿名工具进行高风险活动的个人(如记者、活动人士等)面临着直接的身份暴露风险。
这并非 Apple 首次因其隐私承诺与实际技术表现不符而受到质疑。近年来,该公司曾因用户关闭诊断分析跟踪功能后该功能仍在运行而面临法律诉讼。此外,有分析指出,Apple 用于隐藏设备在公共网络上物理足迹的本地 Wi-Fi MAC 地址随机化功能也未能有效工作,仍然可能泄露真实的设备标识符。