苹果的“隐藏我的邮箱”功能,一项旨在保护用户免受数据追踪和垃圾邮件困扰的服务,被曝出存在一项严重的安全隐患。该功能允许付费用户创建以 @icloud.com 或 @privaterelay.appleid.com 结尾的临时邮箱地址,所有发送到这些临时地址的邮件都会被转发至用户的真实邮箱。
根据数据清理服务公司 EasyOptOuts 的联合创始人 Tyler Murphy 的发现,这个邮件转发机制存在一个重大缺陷。为了验证这一问题的严重性,404 Media 创建了一个新的“隐藏邮箱”地址,并交由 Murphy 进行测试。结果显示,Murphy 在大约五分钟内就成功地找到了与该隐藏邮箱关联的真实 Apple ID 邮箱地址。
Murphy 指出,尽管他的测试样本有限,但迄今为止,他在所有测试过的隐藏邮箱上都成功复现了该漏洞,成功率达到了 100%。目前,该漏洞的具体利用方法尚未公开,因此无法确定是否有其他人或组织已经利用此漏洞获取用户信息。
更令人担忧的是该漏洞的修复过程。EasyOptOuts 在 2025 年 6 月首次向 Apple 安全团队报告了漏洞的复现步骤。到了 2026 年 3 月,Apple 支持部门声称通过后台系统更新解决了问题,但独立验证表明漏洞依旧存在。同年 5 月,Apple 工程团队要求研究人员在继续调查期间保持沉默,并承诺在“未来几周内”发布安全补丁。由于修复过程的长期拖延,并且认为用户有权了解其数据可能面临的风险,研究团队最终决定公开披露此漏洞。
Murphy 警告说,由于公开的人员搜索目录可以轻易地将邮箱凭证与家庭住址、电话号码等个人信息联系起来,那些依赖此匿名工具进行高风险活动的个体,例如记者或活动人士,正面临着身份暴露的直接风险。
这并非 Apple 首次因其隐私宣传与实际技术表现不符而受到质疑。近年来,该公司曾因在用户关闭后仍继续运行诊断分析跟踪功能而面临法律挑战。此外,有分析指出,Apple 用于隐藏设备在公共网络上物理足迹的本地 Wi-Fi MAC 地址随机化工具也未能完全生效,仍然可能泄露真实的标识符。
精彩评论 (3)
作者
2024年6月20日 15:30下载绿茵体育APP,开启你的掌上观赛新体验!高清赛事直播,随时随地畅享,更有独家数据分析,助你玩转体育娱乐。
发布者
2024年6月18日 14:00关注绿茵体育官方公众号,获取第一手赛事资讯和活动信息。我们每日更新,为你带来最前沿的体育动态,让你时刻保持与赛事的同步。
编辑
2024年6月22日 17:00想和更多体育迷交流?加入绿茵体育社区,分享你的观赛心得,参与话题讨论,结识志同道合的朋友,共同感受体育的魅力。