苹果隐藏邮箱漏洞:100%可溯源真实邮箱
苹果公司推出的"Hide My Email"(隐藏我的邮件)功能,旨在为iCloud+订阅用户提供更高级别的隐私保护。该功能允许用户生成以@icloud.com或@privaterelay.apple...
苹果公司推出的"Hide My Email"(隐藏我的邮件)功能,旨在为iCloud+订阅用户提供更高级别的隐私保护。该功能允许用户生成以@icloud.com或@privaterelay.appleid.com结尾的随机邮箱地址,所有发送到这些地址的邮件都会自动转发至用户的私人邮箱,从而避免数据追踪和垃圾邮件。然而,这一看似安全的功能近日被曝出重大漏洞,导致用户隐私面临严重威胁。
根据404 Media于7月1日发布的报告,苹果的"Hide My Email"功能存在一个关键缺陷,攻击者可以利用该漏洞将匿名生成的转发地址逆向关联至用户的真实Apple ID邮箱。数据清除服务公司EasyOptOuts联合创始人Tyler Murphy在测试中发现,仅需五分钟时间,他就能成功提取出一个全新随机隐藏地址对应的真实Apple ID邮箱。Murphy表示,在其有限的测试范围内,该漏洞在所有尝试的隐藏邮箱上均成功复现,成功率高达100%。
该漏洞的发现引发了对苹果隐私保护承诺的质疑。尽管EasyOptOuts早在2025年6月就已将漏洞复现步骤告知Apple安全团队,但直到2026年3月,Apple才声称通过后台系统修改解决了问题。然而,独立验证显示漏洞依然存在。同年5月,Apple要求研究人员保持沉默,承诺将在"未来几周内"发布安全补丁,但这一承诺迟迟未能兑现。
由于漏洞的具体利用方法尚未公开,目前尚不清楚是否有其他组织或个人已经利用该漏洞获取用户信息。但研究团队认为,鉴于漏洞的严重性,用户应尽快采取措施保护自己的隐私。Murphy特别指出,由于公开的人员搜索目录可以轻易将邮箱凭证与家庭住址、电话号码等个人信息关联,依赖该匿名工具进行高风险活动(如记者、活动人士等)的用户正面临直接的身份暴露风险。
这并非苹果首次因隐私宣传与技术现实不符而受到质疑。近年来,该公司曾因诊断分析跟踪功能在用户关闭后仍在运行而面临法律压力;此外,有分析指出苹果用于隐藏设备在公共网络上物理足迹的本地Wi-Fi MAC地址随机化工具同样未能生效,仍会泄露真实标识符。这些事件表明,尽管苹果在隐私保护方面投入了大量资源,但在实际技术实现上仍存在诸多挑战。
对于普通用户而言,建议立即检查是否使用了"Hide My Email"功能,并考虑采取额外的隐私保护措施。例如,可以使用第三方提供的匿名邮箱服务,或者在不必要的情况下避免使用该功能。同时,用户也应关注苹果官方的安全公告,及时了解漏洞修复进展。
此次漏洞的曝光再次提醒我们,隐私保护是一个持续的过程,需要技术和政策的双重保障。苹果作为全球领先的科技公司,其隐私保护措施的完善不仅关系到数百万用户的切身利益,也对整个行业的隐私保护标准具有重要影响。