苹果公司推出的“Hide My Email”服务,一项付费功能,允许用户创建以 @icloud.com 或 @privaterelay.appleid.com 结尾的临时电子邮件地址。这些临时地址接收到的邮件会被转发到用户的真实邮箱,旨在保护用户免受数据追踪和垃圾邮件的困扰。然而,数据隐私公司 EasyOptOuts 的联合创始人 Tyler Murphy 揭示了该功能存在一个重大安全隐患。

为了验证这一问题的严重性,404 Media 创建了一个新的“Hide My Email”地址,并让 Murphy 进行测试。Murphy 在短时间内(约五分钟)就成功找到了与该临时地址关联的真实 Apple ID 邮箱。

Murphy 指出,尽管他的测试样本有限,但该漏洞在他测试过的所有隐藏邮箱上都得到了重现,准确率达到了 100%。目前,该漏洞的具体利用方式尚未公开,因此无法确定是否已有不法分子利用此漏洞窃取用户信息。

更令人担忧的是该漏洞的修复进展。EasyOptOuts 在 2025 年 6 月首次向 Apple 安全团队报告了这一漏洞的重现步骤。到了 2026 年 3 月,Apple 支持团队表示已通过后台系统修复了该问题,但独立验证结果显示漏洞仍然存在。同年 5 月,Apple 工程团队要求研究人员在调查期间保持沉默,并承诺在“未来几周内”推出安全更新。由于修复过程的拖延,以及认为用户有权了解其数据可能面临的风险,研究团队最终决定公开披露此漏洞。

Murphy 警告,由于公开的身份信息数据库能够轻易将邮箱地址与家庭住址、电话号码等个人信息关联起来,那些依赖此匿名工具进行高风险活动的个人(例如记者、活动人士等)现在面临着身份暴露的直接风险。

这并非 Apple 首次因其隐私承诺与实际技术表现不符而受到审视。近年来,该公司曾因在用户关闭后仍然运行诊断分析跟踪功能而面临法律挑战。此外,有分析表明,Apple 用于隐藏设备在公共网络上物理痕迹的本地 Wi-Fi MAC 地址随机化功能也未能有效运作,可能仍会泄露真实的设备标识符。