付费订阅用户可通过苹果的“Hide My Email”功能创建以 @icloud.com 或 @privaterelay.appleid.com 结尾的临时邮箱。这些邮箱会将接收到的邮件转发至用户的真实邮箱,目的是减少垃圾邮件和数据追踪。然而,数据隐私公司 EasyOptOuts 的联合创始人 Tyler Murphy 指出,该服务的机制存在重大缺陷。
为了证实这一问题,404 Media 创建了一个新的随机邮箱地址,并将其交由 Murphy 进行测试。Murphy 在短短五分钟内便成功获取了该临时邮箱关联的真实 Apple ID 邮箱地址。
Murphy 提到,尽管测试样本量不大,但他在所有测试的隐藏邮箱上都成功重现了这一漏洞,成功率达到了 100%。目前,该漏洞的具体利用方式尚未公布,因此无法确定是否已有第三方利用此漏洞获取用户数据。
该漏洞的修复过程也令人担忧。EasyOptOuts 在 2025 年 6 月初次向苹果安全团队报告了漏洞的复现步骤。到 2026 年 3 月,苹果客服曾表示已在后台修复该问题,但独立验证结果显示漏洞依然存在。同年 5 月,苹果工程团队要求研究人员在此期间保持沉默,并承诺将在“未来几周内”推送安全更新。研究团队因不满修复进展缓慢,并认为用户有权了解其数据暴露的风险,最终决定公开披露此事。
Murphy 警告,鉴于公开的人员信息目录可以轻松地将邮箱信息与家庭住址、电话号码等个人数据进行关联,那些依赖此匿名工具进行高风险活动的群体(如记者、活动人士等)将面临直接的身份暴露风险。
这并非苹果首次因其隐私承诺与实际技术表现不符而受到质疑。过去几年,该公司曾因用户关闭诊断分析追踪功能后,该功能仍继续运行而面临法律诉讼。此外,有分析指出,苹果用于隐藏设备在公共网络上物理痕迹的本地 Wi-Fi MAC 地址随机化功能同样未能有效运作,仍可能泄露真实的设备标识符。