苹果的“隐藏我的邮箱”功能,一项旨在保护用户免受数据追踪和垃圾邮件困扰的服务,现已被曝出存在安全隐患。该功能允许付费用户创建诸如 @icloud.com 或 @privaterelay.appleid.com 结尾的临时邮箱地址,所有发送至这些地址的邮件都会被转发至用户的真实邮箱。
数据清理服务公司 EasyOptOuts 的联合创始人 Tyler Murphy 指出了该机制的一个关键弱点。为了验证其严重性,404 Media 创建了一个新的随机隐藏邮箱,并由 Murphy 进行测试。结果显示,Murphy 在大约五分钟内便成功找出了该隐藏邮箱所关联的真实 Apple ID 邮箱地址。
Murphy 补充说,尽管他的测试样本量有限,但在他所有测试过的隐藏邮箱中,该漏洞都得到了 100% 的重现。目前,关于该漏洞的具体利用方法尚未公开,因此无法确定是否已有第三方利用此漏洞获取用户数据。
更令人担忧的是该漏洞的修复过程。EasyOptOuts 于 2025 年 6 月首次向 Apple 安全团队报告了该漏洞的可复现步骤。到了 2026 年 3 月,Apple 支持团队表示已通过后台系统修复了此问题,但独立验证表明漏洞依旧存在。同年 5 月,Apple 工程团队要求研究人员在进一步调查期间保持沉默,并承诺在“未来几周内”发布补丁。由于修复过程的延迟以及认为用户有权了解其数据面临的风险,研究团队最终决定公开这一发现。
Murphy 警告称,由于公开的个人信息数据库可以轻易地将邮箱信息与家庭住址、电话号码等个人细节联系起来,那些依赖“隐藏我的邮箱”进行高风险活动(例如记者或活动家)的用户,现在面临着身份被暴露的直接风险。
这并非 Apple 首次因其隐私声明与实际技术表现不符而受到质疑。近年来,该公司曾因用户关闭诊断分析跟踪功能后该功能仍继续运行而面临法律挑战。此外,有分析指出,Apple 用于隐藏设备在公共网络上物理轨迹的本地 Wi-Fi MAC 地址随机化工具也未能有效工作,反而会泄露真实标识符。