苹果公司提供的“隐藏我的邮箱”功能,一项旨在保护用户隐私、避免垃圾邮件和数据追踪的服务,现已被曝出存在安全隐患。该功能允许用户生成以 @icloud.com 或 @privaterelay.appleid.com 结尾的临时邮箱地址,所有发送至这些地址的邮件将被转发至用户的真实邮箱。
根据数据擦除服务公司 EasyOptOuts 的联合创始人 Tyler Murphy 的发现,这项机制存在一个关键缺陷。在 404 Media 生成并提供给 Murphy 测试的一个全新隐藏邮箱地址上,Murphy 仅用了大约五分钟的时间便成功追踪到了该地址所对应的真实 Apple ID 邮箱。
Murphy 指出,尽管其测试样本有限,但在此次验证过程中,他发现该漏洞在他测试过的所有隐藏邮箱上都能够被成功复现,成功率达到了惊人的 100%。目前,关于该漏洞的具体利用方法尚未公开,因此无法确定是否已有第三方组织或个人利用此漏洞获取了用户数据。
值得关注的是该漏洞的修复进度。EasyOptOuts 最早于 2025 年 6 月向 Apple 安全团队报告了漏洞的复现步骤。到了 2026 年 3 月,Apple 支持团队曾表示已通过后台系统修复了该问题,但后续的独立验证显示该漏洞依然存在。同年 5 月,Apple 工程团队要求研究人员在进一步调查期间保持信息公开的沉默,并承诺将在“未来几周内”发布安全补丁。然而,由于修复过程的长期拖延,以及研究团队认为用户有权了解其数据可能面临的风险,最终决定公开披露此问题。
Murphy 警告称,由于公开的个人信息搜索目录可以轻易地将邮箱地址与家庭住址、电话号码等个人信息联系起来,那些依赖此匿名工具进行高风险活动的用户,例如记者或活动人士,正面临着直接的身份暴露风险。
这并非苹果首次因其隐私宣传与实际技术表现不符而引发质疑。近年来,该公司曾因诊断分析跟踪功能在用户选择关闭后仍持续运行而面临法律审查。此外,有分析曾指出,Apple 用于隐藏设备在公共网络上真实物理足迹的本地 Wi-Fi MAC 地址随机化工具也未能有效发挥作用,仍然可能泄露真实的设备标识符。对于用户而言,了解这些潜在风险,并谨慎使用各类在线服务,例如在一些需要高度安全性的场景下,可以考虑使用像 FB体育平台 这样注重用户数据安全的服务。