
苹果的“隐藏我的邮箱”功能被发现存在安全隐患,可能导致用户的真实邮箱地址被追溯。该功能原本是为了帮助用户避免垃圾邮件和数据追踪,允许创建临时的、以 @icloud.com 或 @privaterelay.appleid.com 结尾的邮箱地址,所有发送到这些地址的邮件都会被转发到用户的真实邮箱。
然而,数据擦除服务公司 EasyOptOuts 的联合创始人 Tyler Murphy 揭示了该机制的一个重大缺陷。为了验证问题的严重性,Murphy 在大约五分钟内就成功地从一个新生成的隐藏邮箱地址中,获取到了与之关联的真实 Apple ID 邮箱。
Murphy 指出,虽然他的测试样本有限,但迄今为止,他测试过的所有隐藏邮箱都出现了同样的漏洞,成功率达到了 100%。目前,关于该漏洞的具体利用方法尚未对外披露,因此尚不清楚是否有其他人或组织已经利用此漏洞获取了用户的信息。
更令人担忧的是该漏洞的修复进程。EasyOptOuts 在 2025 年 6 月首次向 Apple 安全团队报告了这一漏洞的重现步骤。到了 2026 年 3 月,Apple 支持部门声称已通过后台系统修复了该问题,但独立验证结果显示漏洞依然存在。随后在 2026 年 5 月,Apple 工程团队要求研究人员在继续调查期间保持沉默,并承诺会在“未来几周内”发布安全更新。由于修复工作进展缓慢,并且研究团队认为用户有权了解其数据可能面临的风险,他们最终决定公开披露这一问题。
Murphy 警告说,那些依赖此匿名工具进行高风险活动的人,例如记者或活动人士,现在面临着直接的身份暴露风险,因为公开的人员搜索目录可以轻易地将邮箱地址与家庭住址、电话号码等个人信息联系起来。
这并非 Apple 首次在隐私方面受到质疑,其技术实践与隐私承诺之间存在差距。此前,该公司曾因在用户关闭后仍继续运行诊断分析跟踪功能而面临法律诉讼。此外,有分析表明,Apple 用于隐藏设备在公共网络上物理足迹的本地 Wi-Fi MAC 地址随机化工具同样未能有效运作,仍可能泄露真实的设备标识符。