苹果的“隐藏我的邮箱”功能,一项旨在保护用户免受追踪和垃圾邮件的服务,已被发现存在一个重大安全缺陷。该功能允许付费用户创建以 @icloud.com 或 @privaterelay.appleid.com 结尾的临时邮箱地址,所有发送至这些地址的邮件都会被转发到用户的真实邮箱。
根据数据清理服务公司 EasyOptOuts 的联合创始人 Tyler Murphy 的发现,这一机制存在严重问题。为了验证这一漏洞,404 Media 创建了一个新的隐藏邮箱,并由 Murphy 进行测试。结果显示,Murphy 在不到五分钟的时间内就成功找到了与该隐藏邮箱关联的真实 Apple ID 邮箱。
Murphy 指出,尽管他的测试范围有限,但他在所有测试过的隐藏邮箱上都成功重现了该漏洞,成功率达到了 100%。目前,该漏洞的具体利用方法尚未公开,因此无法确定是否已有第三方利用此漏洞获取用户数据。
更令人担忧的是该漏洞的修复过程。EasyOptOuts 在 2025 年 6 月首次向 Apple 安全团队报告了此漏洞。到 2026 年 3 月,Apple 支持方面表示已通过后台系统修复了该问题,但独立验证结果显示漏洞依然存在。随后在同年 5 月,Apple 工程团队要求研究人员在继续调查期间保持沉默,并承诺在“未来几周内”发布补丁。由于修复过程的延迟以及对用户知情权的考量,研究团队最终决定公开披露这一问题。
Murphy 警告说,由于公开的个人信息目录可以轻易地将邮箱信息与家庭住址、电话号码等个人身份信息联系起来,那些依赖此匿名工具进行高风险活动的用户(例如记者或活动人士)可能面临身份暴露的风险。
这并非 Apple 首次因其隐私承诺与实际技术表现不符而受到质疑。此前,该公司曾因用户关闭诊断分析跟踪功能后该功能仍在运行而面临法律诉讼。此外,有分析指出 Apple 用于隐藏设备在公共网络上物理足迹的本地 Wi-Fi MAC 地址随机化工具也未能有效运作,仍然可能泄露真实的设备标识符。
体育迷小李
2024年6月20日 15:00
这场比赛真是跌宕起伏,太精彩了!