苹果公司提供的“隐藏我的电子邮件”功能,一项旨在保护用户免受数据追踪和垃圾邮件困扰的付费服务,现已被曝存在重大安全隐患。该功能允许用户创建以 @icloud.com 或 @privaterelay.appleid.com 结尾的临时邮箱地址,所有发送至这些地址的邮件都会被转发至用户的真实邮箱。
然而,数据隐私服务公司 EasyOptOuts 的联合创始人 Tyler Murphy 揭示了该机制的一个严重缺陷。为了验证这一问题的严重性,404 Media 创建了一个新的随机隐藏邮箱,并由 Murphy 进行测试。结果显示,Murphy 在短短五分钟内就成功找到了与该隐藏邮箱关联的真实 Apple ID 邮箱地址。
Murphy 指出,尽管其测试样本量有限,但他在所有测试过的隐藏邮箱上都成功复现了这一漏洞,成功率达到了 100%。目前,由于该漏洞的具体利用方法尚未公开,尚不清楚是否有第三方已经利用此漏洞窃取用户信息。
更令人担忧的是该漏洞的修复过程。EasyOptOuts 早在 2025 年 6 月就已将发现的漏洞复现步骤提交给 Apple 的安全团队。到了 2026 年 3 月,Apple 的支持人员声称已通过后台系统修复了该问题,但独立验证结果显示漏洞依旧存在。随后在同年 5 月,Apple 的工程团队要求研究人员在调查期间保持沉默,并承诺将在“未来几周内”发布补丁。鉴于修复过程的长期拖延,以及研究团队认为用户有权了解其数据可能面临的风险,他们最终决定公开披露此漏洞。
Murphy 警告称,由于公开的人员搜索目录可以轻松地将邮箱信息与家庭住址、电话号码等个人数据联系起来,那些依赖此匿名工具进行高风险活动的个人,例如记者或活动人士,现在面临着身份被直接暴露的风险。
这并非苹果首次因其实际隐私保护措施与宣传不符而受到质疑。近年来,该公司曾因用户关闭诊断分析追踪功能后该功能仍继续运行而面临法律诉讼。此外,有分析指出,苹果用于隐藏设备在公共网络上物理痕迹的本地 Wi-Fi MAC 地址随机化工具也未能有效运作,仍可能泄露真实的设备标识符。