科技圈近日传来一则令人关注的消息——苹果公司宣称可“完全匿名使用”的 iCloud+ 功能,竟存在一项安全隐患,可能导致用户的真实邮箱信息被轻易获取。简单来说,当你以为自己的隐私受到保护时,攻击者只需短短几分钟,就能将匿名邮箱与你本人的身份信息关联起来。

先来了解这项“Hide My Email”(隐藏我的邮件)功能的用途。它面向 iCloud+ 付费用户开放,允许用户生成一个随机邮箱地址,后缀通常为 @icloud.com 或 @privaterelay.appleid.com。当他人向该匿名地址发送邮件时,系统会自动将其转发至用户真实的私人邮箱。设计初衷十分美好:帮助用户屏蔽垃圾邮件,防止被追踪。
漏洞细节:五分钟内,100% 可追溯
问题究竟出在哪里?数据清除服务公司 EasyOptOuts 的联合创始人 Tyler Murphy 在测试中发现了这一缺陷。这并非偶然发现或理论上的风险,而是经过实际验证的——404 Media 专门生成了一个全新的随机隐藏邮箱地址交由 Murphy 进行追踪,结果仅用五分钟,Murphy 就成功提取出了该地址背后绑定的真实 Apple ID 邮箱。
需要强调的是,该漏洞并非仅对个别案例生效。Murphy 坦言,截至目前,他测试过的所有隐藏邮箱均能成功复现该问题,命中率达到 100%。当然,由于具体的利用方法尚未在公开渠道披露,目前无法确定已有多少人注意到并利用了这项缺陷。
修复历程:长达一年的拖延
更令人担忧的是苹果对待该漏洞的修复态度。根据披露信息,EasyOptOuts 早在 2025 年 6 月就向苹果安全团队正式提交了复现步骤。接下来的剧情或许并不陌生:2026 年 3 月,苹果支持团队声称已通过后台修改解决了问题——然而独立验证很快表明,该漏洞依然存在。同年 5 月,苹果工程团队要求研究人员暂时不要公开,并承诺“未来几周内”将发布安全补丁。
研究团队最终选择公开披露,原因非常直接:修复过程已拖延近一年,他们认为用户完全有权知道自己的数据从未真正受到保护。
深层隐患:风险远不止邮箱泄露
这项漏洞真正令人忧虑的是其引发的连锁反应。Murphy 警告称,目前市面上存在大量公开的搜索目录,能够轻松将邮箱地址与家庭住址、电话号码等信息关联起来。如果记者、活动人士或其他依赖该匿名功能保护真实身份的高风险用户,其邮件从一开始就未能实现真正的隐私保护——后果不堪设想。
值得留意的是,苹果在隐私领域并非首次出现类似问题。近几年,该公司曾因关闭“诊断分析”功能后仍在悄悄收集用户数据而面临诉讼;此外,其宣称能随机化 Wi-Fi MAC 地址、使公共网络上的物理足迹无法被追踪的功能,也被曝并未实际生效,反而泄露了真实标识符。宣传与技术服务现实之间,似乎始终存在一定差距。
