苹果公司的一项名为“Hide My Email”的隐私功能,允许付费用户创建临时的、以 @icloud.com 或 @privaterelay.appleid.com 结尾的电子邮件地址。这些临时地址可以将邮件自动转发至用户的真实邮箱,目的是为了保护用户免受数据追踪和垃圾邮件的骚扰。然而,数据隐私服务公司 EasyOptOuts 的联合创始人 Tyler Murphy 指出,这项功能存在一个重大的安全隐患。
为了验证这一问题的严重性,404 Media 创建了一个新的随机隐藏邮箱地址,并交由 Murphy 进行测试。结果显示,Murphy 在大约五分钟的时间内就成功地获取了该随机地址所对应的真实 Apple ID 邮箱。
Murphy 表示,尽管他的测试仅限于有限的样本,但截至目前,他在所有测试过的隐藏邮箱上都成功复现了该漏洞,成功率达到了 100%。IT之家在此提醒,由于该漏洞的具体利用方法尚未公布,目前尚不清楚是否有其他个人或组织已经利用此漏洞获取了用户信息。
更令人担忧的是该漏洞的修复进展。EasyOptOuts 最早于 2025 年 6 月将漏洞的复现步骤告知了 Apple 的安全团队。到了 2026 年 3 月,Apple 的支持人员声称已经通过后台系统修复了该问题,但独立验证结果显示漏洞仍然存在。同年 5 月,Apple 的工程团队要求研究人员在继续调查期间保持公开沉默,并承诺在“未来几周内”发布安全补丁。由于不满于漫长的修复周期,并且认为用户有权了解其数据可能面临的风险,研究团队最终决定公开披露此漏洞。
Murphy 警告说,由于公开的人员搜索目录可以轻易地将电子邮件地址与家庭住址、电话号码等个人信息关联起来,那些依赖此匿名工具进行高风险活动的用户(例如记者、活动人士等)正面临着直接的身份暴露风险。
这并非 Apple 首次因其隐私宣传与实际技术表现不符而受到质疑。近年来,该公司曾因其诊断分析跟踪功能在用户选择关闭后仍然运行而面临法律诉讼。此外,有分析指出,Apple 用于隐藏设备在公共网络上物理足迹的本地 Wi-Fi MAC 地址随机化工具同样未能有效工作,仍然可能泄露真实的设备标识符。