苹果“Hide My Email”被曝安全漏洞:测试中 100% 可溯源真实邮箱 - GG扑克官网
苹果公司提供的“隐藏我的电子邮件”功能,一项旨在保护用户免受数据追踪和垃圾邮件侵扰的服务,现被曝出存在一项重大安全隐患。该功能允许付费用户创建以 @icloud.com 或 @privaterelay.appleid.com 结尾的临时邮箱地址,所有发送至这些地址的邮件都会被转发至用户的真实邮箱。
据数据清理服务公司 EasyOptOuts 的联合创始人 Tyler Murphy 披露,这一机制存在显著的缺陷。为了验证该问题的严重性,404 Media 创建了一个新的随机隐藏邮箱并提供给 Murphy 进行测试。结果显示,Murphy 在短时间内,大约五分钟,就成功地找出了该隐藏邮箱所对应的真实 Apple ID 邮箱地址。
Murphy 指出,尽管其测试的样本量有限,但到目前为止,该漏洞在他测试过的所有隐藏邮箱上都得到了重现,成功率达到了 100%。目前尚不清楚该漏洞的具体利用方法,因此无法确定是否已有第三方组织或个人利用此漏洞获取用户隐私信息。
更令人担忧的是该漏洞的修复进程。EasyOptOuts 在 2025 年 6 月首次将漏洞的复现步骤通知了 Apple 的安全团队。到了 2026 年 3 月,Apple 的支持部门声称已通过后台系统修复了此问题,但独立验证结果表明漏洞依然存在。同年 5 月,Apple 的工程团队要求研究人员在继续调查期间保持沉默,并承诺在“未来几周内”发布补丁。由于修复过程的长期拖延,研究团队认为用户有权了解其数据面临的风险,因此最终决定公开披露此漏洞。
Murphy 警告,由于公共人员搜索目录能够轻易地将邮箱信息与家庭住址、电话号码等个人数据联系起来,那些依赖此匿名工具进行高风险活动的个体,例如记者和活动人士,正面临着真实的身份暴露风险。
这并非 Apple 首次因其隐私承诺与实际技术表现不符而受到质疑。近年来,该公司曾因在用户关闭相关设置后,诊断分析跟踪功能仍继续运行而面临法律挑战。此外,有分析指出,Apple 用于隐藏设备在公共网络上物理痕迹的本地 Wi-Fi MAC 地址随机化工具,也未能有效发挥作用,仍可能泄露真实的设备标识符。