苹果公司提供的一项付费功能“Hide My Email”被发现存在安全隐患,该功能允许用户创建临时的、以 @icloud.com 或 @privaterelay.appleid.com 结尾的电子邮件地址。这些生成的地址能够将收到的邮件自动转发至用户的真实邮箱,目的是为了减少数据追踪和垃圾邮件的骚扰。然而,数据隐私服务公司 EasyOptOuts 的联合创始人 Tyler Murphy 指出,这一机制存在严重的缺陷。
为了验证这一问题的严重性,媒体 404 Media 创建了一个新的隐藏邮箱地址,并交由 Murphy 进行测试。Murphy 在大约五分钟的时间内,便成功地找到了与该隐藏地址相对应的真实 Apple ID 邮箱。
Murphy 提到,尽管其测试的样本量有限,但在他所有测试过的隐藏邮箱中,该漏洞都得到了重现,成功率达到了 100%。目前,该漏洞的具体利用方法尚未公开,因此无法确定是否已有第三方利用此漏洞获取用户数据。
更令人担忧的是该漏洞的修复进程。EasyOptOuts 最早是在 2025 年 6 月将漏洞的复现步骤告知了 Apple 的安全团队。到了 2026 年 3 月,Apple 客服表示已通过后台系统修复了该问题,但独立验证结果显示漏洞依旧存在。同年 5 月,Apple 工程团队要求研究人员在调查期间保持沉默,并承诺会在“未来几周内”发布一个安全更新。由于修复过程的长期拖延,以及研究团队认为用户有权了解其数据可能面临的风险,他们最终决定公开披露这一漏洞。
Murphy 警告称,由于公共的个人信息目录可以轻易地将邮箱地址与家庭住址、电话号码等个人信息联系起来,那些依赖此匿名工具进行高风险活动的群体,例如记者和活动人士,正面临着身份暴露的直接风险。
这并非苹果公司首次因其隐私承诺与实际技术表现不符而受到质疑。近年来,该公司曾因用户关闭诊断分析功能后,该功能仍在运行而面临法律诉讼。此外,有分析指出,苹果用于隐藏设备在公共网络上物理痕迹的本地 Wi-Fi MAC 地址随机化工具也未能有效工作,仍然会泄露真实的设备标识符。