苹果的“隐藏我的邮箱”功能,一项为付费用户提供通过随机生成的 @icloud.com 或 @privaterelay.appleid.com 地址接收邮件,并自动转发至用户真实邮箱的服务,旨在防御数据追踪和垃圾邮件,现被曝出存在严重安全隐患。
数据隐私服务公司 EasyOptOuts 的联合创始人 Tyler Murphy 揭示了该机制的重大缺陷。为了验证问题的严重性,404 Media 创建了一个新的随机隐藏邮箱并交给 Murphy 进行测试。结果显示,Murphy 在大约五分钟内便成功获取了该隐藏邮箱所关联的真实 Apple ID 邮箱地址。
Murphy 指出,尽管其测试样本有限,但截至目前,该漏洞在其测试的所有隐藏邮箱上均被成功重现,准确率达到了 100%。IT之家提醒,由于漏洞的具体利用方式尚未公开,目前尚无法确定是否有其他第三方已利用此漏洞窃取用户信息。
更令人担忧的是漏洞的修复进展。EasyOptOuts 最早于 2025 年 6 月向 Apple 安全团队报告了该漏洞的重现步骤。到了 2026 年 3 月,Apple 支持部门声称已通过后端系统修复了此问题,但独立验证结果表明漏洞依然存在。同年 5 月,Apple 工程团队要求研究人员在进一步调查期间保持沉默,并承诺将在“未来几周内”发布安全补丁。鉴于修复过程的长期拖延,以及研究团队认为用户有权了解其数据暴露的风险,他们最终决定公开披露这一问题。
Murphy 警告称,由于公开的个人信息数据库可以轻易地将邮箱信息与家庭住址、电话号码等个人身份信息关联起来,依赖此匿名工具进行高风险活动(例如记者、活动人士等)的用户,正面临直接的身份暴露风险。
这并非 Apple 首次因其隐私宣传与实际技术表现不符而受到质疑。近年来,该公司曾因用户关闭“诊断与用量分析”功能后,该功能仍持续运行而面临法律挑战。此外,有分析指出,Apple 用于隐藏设备在公共网络上物理足迹的本地 Wi-Fi MAC 地址随机化功能也未能有效工作,仍然可能泄露真实的设备标识符。
获取专属福利与游戏资讯