Apple 的“隐藏我的电子邮件”功能,一项旨在保护用户免受数据跟踪和垃圾邮件的服务,被发现存在一项严重的安全缺陷。该功能允许付费用户创建以 @icloud.com 或 @privaterelay.appleid.com 结尾的临时电子邮件地址,所有发送到这些地址的邮件都会被转发到用户的真实邮箱。

根据数据擦除服务公司 EasyOptOuts 的联合创始人 Tyler Murphy 的说法,这项机制存在重大漏洞。为了检验问题的严重性,404 Media 创建了一个新的隐藏邮箱地址,并让 Murphy 进行测试。结果显示,Murphy 在大约五分钟内便成功找出了与该临时地址关联的真实 Apple ID 邮箱。

Murphy 指出,尽管他的测试范围有限,但在他进行的所有测试中,该漏洞都得到了 100% 的成功复现。IT之家在此提醒,由于具体的利用方法尚未公布,目前尚不清楚是否有其他方已经利用此漏洞窃取用户信息。

更令人担忧的是该漏洞的修复进展。EasyOptOuts 在 2025 年 6 月首次向 Apple 安全团队报告了漏洞的重现步骤。到了 2026 年 3 月,Apple 支持团队声称已通过后台系统修复了问题,但独立验证显示漏洞依旧存在。随后在同年 5 月,Apple 工程团队要求研究人员在进一步调查期间保持沉默,并承诺在“未来几周内”发布补丁。由于对修复进度的延迟感到不满,并且认为用户有权了解其数据可能面临的风险,研究团队最终决定公开披露此信息。

Murphy 警告说,由于公开的个人信息目录可以轻易地将电子邮件地址与家庭住址、电话号码等个人信息联系起来,那些依赖此匿名工具进行高风险活动(例如记者或活动人士)的用户,现在面临着身份被直接暴露的风险。

这并非 Apple 首次因其隐私宣传与其技术实践不符而受到质疑。近年来,该公司曾因在用户关闭后仍继续运行诊断分析跟踪功能而面临法律诉讼。此外,有分析指出,Apple 用于隐藏设备在公共网络上物理位置的本地 Wi-Fi MAC 地址随机化工具也未能有效工作,仍然可能泄露真实的标识符。