付费用户可通过 Apple 的“隐藏我的邮箱”功能创建以 @icloud.com 或 @privaterelay.appleid.com 结尾的临时邮箱地址。此功能旨在通过将邮件自动转发至用户的真实邮箱,帮助用户减少数据追踪和垃圾邮件的骚扰。然而,数据隐私服务公司 EasyOptOuts 的联合创始人 Tyler Murphy 发现,该服务存在一个重大的安全隐患。
为了检验该漏洞的真实性,404 Media 创建了一个新的随机隐藏邮箱地址,并交由 Murphy 进行测试。结果显示,Murphy 在大约五分钟内便成功获取了该临时邮箱对应的真实 Apple ID 邮箱地址。
Murphy 指出,尽管其测试样本量有限,但到目前为止,该漏洞在他测试过的所有隐藏邮箱上都得到了重现,成功率达到了 100%。IT之家在此提醒,由于该漏洞的具体利用方式尚未对外公布,目前无法断定是否已有第三方组织或个人利用此漏洞窃取用户信息。
更令人担忧的是该漏洞的修复进程。EasyOptOuts 最早于 2025 年 6 月向 Apple 安全团队报告了该漏洞及其复现步骤。到了 2026 年 3 月,Apple 支持部门声称已通过后台系统更新解决了此问题,但独立验证结果表明漏洞依旧存在。同年 5 月,Apple 工程团队要求研究人员在进一步调查期间保持信息公开的缄默,并承诺将在“未来几周内”发布相应的安全补丁。由于对漫长的修复周期感到不满,并认为用户有权了解其数据面临的暴露风险,研究团队最终决定公开披露此漏洞。
Murphy 警告称,鉴于公开的人员搜索目录能够轻易地将邮箱信息与家庭住址、电话号码等个人身份信息关联起来,那些依赖此匿名工具处理高风险事务的用户(例如记者、活动人士等)正面临着直接的身份暴露风险。
这并非 Apple 首次因其隐私宣传与实际技术表现不符而受到质疑。近年来,该公司曾因其诊断分析跟踪功能在用户选择关闭后仍持续运行而面临法律审查。此外,有分析指出,Apple 用于隐藏设备在公共网络上物理足迹的本地 Wi-Fi MAC 地址随机化工具同样未能有效发挥作用,仍可能泄露真实的设备标识符。