苹果的“隐藏我的邮箱”功能被发现存在一个重大安全缺陷,该缺陷使得测试者能够 100% 找到真实邮箱地址。这项功能允许付费用户创建以 @icloud.com 或 @privaterelay.appleid.com 结尾的临时邮箱,所有发送到这些临时邮箱的邮件都会被转发到用户注册的真实邮箱,目的是为了保护用户免受数据追踪和垃圾邮件的困扰。然而,数据隐私服务公司 EasyOptOuts 的联合创始人 Tyler Murphy 指出,这个机制存在严重的漏洞。
为了验证这个问题的严重性,404 Media 创建了一个新的隐藏邮箱地址,并交由 Murphy 进行测试。结果显示,Murphy 在大约五分钟内就成功获取了与该隐藏邮箱对应的真实 Apple ID 邮箱地址。Murphy 提到,尽管他的测试样本有限,但他迄今为止测试过的所有隐藏邮箱都出现了同样的状况,成功率达到了 100%。目前,该漏洞的具体利用方法尚未公开,因此无法确定是否已有其他人或组织利用此漏洞窃取用户信息。
更令人担忧的是漏洞的修复进展。EasyOptOuts 最早是在 2025 年 6 月将此漏洞的复现步骤告知了 Apple 的安全团队。到了 2026 年 3 月,Apple 支持部门声称已经通过后台系统修复了该问题,但独立验证结果表明漏洞仍然存在。随后在同年 5 月,Apple 工程团队要求研究人员在进一步调查期间保持沉默,并承诺会在“未来几周内”发布安全更新。由于 Apple 的长期拖延以及研究团队认为用户有权了解其数据可能面临的风险,他们最终决定公开披露这一漏洞。
Murphy 警告说,由于公开的个人信息目录很容易将邮箱地址与家庭住址、电话号码等其他个人信息联系起来,那些依赖此匿名工具进行高风险活动的个人(例如记者、活动家等)现在面临着身份被直接暴露的危险。
这并非 Apple 首次因其隐私承诺与实际技术表现不符而受到质疑。近年来,该公司曾因用户关闭诊断分析功能后该功能仍然运行而面临法律诉讼。此外,有分析指出 Apple 用于隐藏设备在公共网络上物理足迹的本地 Wi-Fi MAC 地址随机化工具同样未能有效工作,仍然会泄露真实的设备标识符。
资深教育家
我们注重用户体验,提供24/7在线客服支持,随时解答您的疑问,确保您的游戏过程顺畅无忧。