苹果推出的“隐藏我的电子邮件”功能,允许付费用户创建以 @icloud.com 或 @privaterelay.appleid.com 结尾的临时邮箱地址,用于接收邮件并自动转发至用户的真实邮箱。此功能旨在增强用户隐私,防止数据被追踪和垃圾邮件侵扰。然而,数据清理服务公司 EasyOptOuts 的联合创始人 Tyler Murphy 指出,该机制存在重大缺陷。

为了验证这一问题的严重性,404 Media 创建了一个新的随机隐藏邮箱地址,并交由 Murphy 进行测试。结果显示,Murphy 在大约五分钟内便成功获取了该临时邮箱对应的真实 Apple ID 邮箱地址。

Murphy 表示,尽管其测试范围有限,但迄今为止,他在所有测试过的隐藏邮箱上都成功复现了该漏洞,成功率达到了 100%。IT之家在此提醒,由于该漏洞的具体利用方法尚未对外公布,目前无法确定是否有其他方已利用此漏洞来获取用户个人信息。

更令人担忧的是修复该漏洞的时间线。EasyOptOuts 最早于 2025 年 6 月向 Apple 安全团队报告了此漏洞的复现步骤。到了 2026 年 3 月,Apple 支持团队声称已通过后台系统更新解决了此问题,但独立验证结果显示漏洞依然存在。同年 5 月,Apple 工程团队要求研究人员在继续调查期间保持沉默,并承诺在“未来几周内”发布安全更新。由于对漫长的等待感到不满,并且认为用户有权了解其数据可能面临的风险,研究团队最终决定公开披露这一问题。

Murphy 警告称,由于公开的人员搜索目录可以轻易地将邮箱信息与家庭住址、电话号码等个人细节关联起来,那些依赖此匿名工具进行高风险活动的群体(例如记者、活动家等)正面临直接暴露身份的风险。

这并非 Apple 首次因其隐私宣传与实际技术表现不符而受到质疑。近年来,该公司曾因用户关闭诊断分析功能后,该功能仍在运行而面临法律审查。此外,有分析指出,Apple 用于隐藏设备在公共网络上物理足迹的本地 Wi-Fi MAC 地址随机化工具也未能有效运作,可能仍然会泄露真实标识符。