苹果公司提供的“隐藏我的邮箱”功能,旨在通过生成临时的、以 @icloud.com 或 @privaterelay.appleid.com 结尾的邮件地址,来帮助用户规避垃圾邮件和数据追踪。发送至这些临时地址的邮件会被自动转发至用户真实的私人邮箱。然而,数据清理服务公司 EasyOptOuts 的联合创始人 Tyler Murphy 指出,这项服务存在一个显著的安全隐患。
为了验证这一问题的严重性,EasyOptOuts 与 404 Media 合作进行了一项测试。他们生成了一个全新的“隐藏我的邮箱”地址,并由 Murphy 进行测试。结果显示,Murphy 在短短五分钟内便成功找到了该隐藏地址所对应的真实 Apple ID 邮箱。
Murphy 强调,尽管他的测试是基于有限的样本,但到目前为止,他测试过的所有“隐藏我的邮箱”地址都出现了同样的漏洞,成功率达到了 100%。IT之家在此提醒,由于该漏洞的具体利用技术尚未公开,目前尚不清楚是否有第三方已经利用此漏洞窃取用户的信息。
更令人担忧的是该漏洞的修复进程。EasyOptOuts 最早于 2025 年 6 月将漏洞细节告知了苹果的安全团队。到了 2026 年 3 月,苹果客服表示已通过后台系统修复了该问题,但独立验证结果显示漏洞依然存在。同年 5 月,苹果工程团队要求研究人员在调查期间保持沉默,并承诺在“未来几周内”发布更新。然而,由于修复的长期拖延,以及研究团队认为用户有权了解其数据暴露的风险,他们最终决定公开这一发现。
Murphy 警告说,由于公开的人员搜索目录可以轻松地将邮箱地址与家庭住址、电话号码等个人信息联系起来,那些依赖此匿名工具进行高风险活动的个人,例如记者或活动人士,正面临着身份被直接暴露的风险。
这并非苹果公司首次因其隐私宣传与实际技术表现不符而受到质疑。近年来,该公司曾因在用户关闭后仍继续运行诊断分析跟踪功能而面临法律诉讼。此外,有分析指出,苹果用于隐藏设备在公共网络上物理足迹的本地 Wi-Fi MAC 地址随机化功能也未能有效工作,仍然可能泄露真实的设备标识符。