苹果的“隐藏我的邮箱”功能,一项旨在保护用户免受数据追踪和垃圾邮件困扰的付费服务,目前被曝出存在一个严重的安全隐患。该功能允许用户创建以 @icloud.com 或 @privaterelay.appleid.com 结尾的临时邮箱地址,所有发送至这些地址的邮件都会被转发到用户真实的私人邮箱。
数据隐私服务公司 EasyOptOuts 的联合创始人 Tyler Murphy 在一次测试中发现了这一缺陷。为了验证问题的严重性,404 Media 创建了一个新的隐藏邮箱地址,并由 Murphy 进行测试。令人担忧的是,Murphy 在大约五分钟内就成功获取了该隐藏邮箱对应的真实 Apple ID 邮箱。
Murphy 表示,尽管他的测试范围有限,但截至目前,他在所有测试过的隐藏邮箱上都成功复现了这一漏洞,成功率高达 100%。目前该漏洞的具体利用方式尚未公开,因此无法确定是否已有外部实体利用此漏洞窃取用户数据。
该漏洞的修复过程也引发了更多担忧。EasyOptOuts 早在 2025 年 6 月就已向 Apple 安全团队报告了漏洞复现步骤。到了 2026 年 3 月,Apple 支持团队声称已通过后台系统修复了该问题,但独立验证结果显示漏洞依然存在。随后在 2026 年 5 月,Apple 工程团队要求研究人员在继续调查期间保持沉默,并承诺在“未来几周内”发布补丁。由于修复过程的长期拖延,以及研究团队认为用户有权了解其数据面临的风险,他们最终决定公开披露该漏洞。
Murphy 警告称,那些依赖“隐藏我的邮箱”进行高风险活动的用户,例如记者或活动人士,现在面临着直接的身份暴露风险。这是因为公开的人员搜索目录可以轻易地将邮箱信息与家庭住址、电话号码等个人身份信息关联起来。
这并非 Apple 首次因其隐私承诺与技术实践之间存在差距而受到质疑。近年来,该公司曾因用户关闭诊断分析跟踪功能后,该功能仍在后台运行而面临法律诉讼。此外,有分析指出,Apple 用于隐藏设备在公共网络上物理足迹的本地 Wi-Fi MAC 地址随机化工具同样存在问题,未能有效隐藏真实标识符。