苹果的“隐藏我的邮箱”功能被发现存在一个安全隐患,该功能允许付费用户创建以 @icloud.com 或 @privaterelay.appleid.com 结尾的临时邮箱地址,收到的邮件会自动转发至用户的真实邮箱,目的是为了减少追踪和垃圾邮件。然而,EasyOptOuts 的联合创始人 Tyler Murphy 指出,这一机制存在重大缺陷。
为了证实这一缺陷,404 Media 创建了一个新的随机邮箱地址并交由 Murphy 进行测试。Murphy 在大约五分钟内便成功找出了该随机邮箱所对应的真实 Apple ID 邮箱。
Murphy 提到,尽管测试的样本量不大,但迄今为止,他在所有测试过的隐藏邮箱上都成功复现了这一漏洞,成功率达到了 100%。IT之家在此提醒,由于该漏洞的具体利用方法尚未对外公布,目前尚无法确定是否已有其他第三方利用该漏洞获取了用户数据。
更令人担忧的是漏洞的修复过程。EasyOptOuts 最早于 2025 年 6 月向 Apple 安全团队报告了此漏洞的重现步骤。2026 年 3 月,Apple 支持团队表示已通过后台系统修复了该问题,但独立验证结果显示漏洞依旧存在。同年 5 月,Apple 工程团队要求研究人员在继续调查期间保持沉默,并承诺在“未来几周内”发布补丁。鉴于修复过程的拖延,并且认为用户有权了解其数据可能面临的风险,研究团队最终决定公开披露此事。
Murphy 警告说,利用公开的通讯录可以轻易地将邮箱信息与家庭住址、电话号码等个人身份信息关联起来。因此,依赖此匿名工具进行高风险活动的群体,例如记者或活动人士,正面临身份暴露的直接风险。
这并非苹果首次因其隐私宣传与实际技术表现不符而受到质疑。近年来,该公司曾因诊断分析追踪功能在用户关闭后仍继续运行而面临法律挑战。此外,有分析指出,苹果用于隐藏设备在公共网络上物理足迹的本地 Wi-Fi MAC 地址随机化工具也未能有效发挥作用,仍可能泄露真实标识符。