苹果公司的一项旨在保护用户隐私的功能“隐藏我的邮箱”被披露存在安全隐患,可能导致用户的真实邮箱地址被追溯。该功能允许付费用户创建以 @icloud.com 或 @privaterelay.appleid.com 结尾的临时邮箱,所有发送到这些临时邮箱的邮件都会被转发至用户的真实邮箱,从而帮助用户减少数据追踪和垃圾邮件的困扰。然而,数据擦除服务公司 EasyOptOuts 的联合创始人 Tyler Murphy 指出,该机制存在一个严重的缺陷。

为了证实这一问题的严重性,EasyOptOuts 与 404 Media 合作,生成了一个新的隐藏邮箱地址并交由 Murphy 进行测试。在短短约五分钟的时间里,Murphy 就成功地找到了与该隐藏邮箱关联的真实 Apple ID 邮箱地址。

Murphy 表示,尽管他的测试样本量有限,但迄今为止,他在所有测试过的隐藏邮箱上都成功复现了这一漏洞,成功率达到了 100%。目前,该漏洞的具体利用方法尚未对外公布,因此尚不清楚是否有其他方已经利用此漏洞获取了用户信息。

更令人担忧的是该漏洞的修复进程。EasyOptOuts 最早于 2025 年 6 月将漏洞的复现步骤告知了 Apple 的安全团队。到了 2026 年 3 月,Apple 的支持团队声称已通过后台系统更新解决了该问题,但独立验证结果显示漏洞依旧存在。同年 5 月,Apple 的工程团队要求研究人员在继续调查期间保持沉默,并承诺将在“未来几周内”发布安全补丁。由于对修复过程的长期拖延感到不满,并且认为用户有权了解其数据可能面临的风险,研究团队最终决定公开披露这一信息。

Murphy 警告说,由于公开的人员搜索目录可以方便地将邮箱信息与家庭住址、电话号码等个人身份信息联系起来,那些依赖此匿名工具进行高风险活动的用户(例如记者、活动家等)可能面临直接的身份暴露风险。

这并非苹果公司首次因其隐私宣传与实际技术表现不符而受到质疑。近年来,该公司曾因其诊断分析跟踪功能在用户选择关闭后仍继续运行而面临法律诉讼。此外,有分析指出,苹果用于隐藏设备在公共网络上物理痕迹的本地 Wi-Fi MAC 地址随机化工具也未能有效发挥作用,仍然可能泄露真实的设备标识符。