【Apple 的“隐藏邮件地址”功能漏洞暴露真实电子邮件地址】
据报道,Apple 的“隐藏邮件地址”功能存在一个漏洞,任何人都可以借此发现生成的别名背后的真实电子邮件地址。自该漏洞首次被报道以来,Apple 一年多来一直未能解决这个问题。
404 Media 暂未公布该漏洞的具体技术信息,因为该漏洞仍可被利用。但本周,该媒体使用其自有的“隐藏邮件地址”验证了该问题。发现该漏洞的研究人员在志愿者测试中发现,所有“隐藏邮件地址”功能均存在可利用性。
EasyOptOuts 的联合创始人 Tyler Murphy 发现了这个问题,并于 2025 年 6 月负责任地向 Apple 报告了该问题,同时提供了重现该问题的说明。一个月后,Apple 确认收到该报告,并表示正在调查。Tyler Murphy 表示:
Apple 的“隐藏邮件地址”功能正在泄露本应隐藏的邮件地址。我们早在一年多前就向 Apple 报告了这个问题以及重现步骤。我们不知道为什么这个问题至今仍未修复,但我们不能再继续等待了。“隐藏邮件地址”用户有权知道,攻击者有可能发现他们隐藏的邮件地址。
免费且公开的人员搜索网站很容易将电子邮件地址与其他个人信息关联起来,因此依赖“隐藏邮件地址”来保障安全的用户可能会面临风险。
2026 年 3 月,Apple 告诉 Tyler Murphy,他们“已在最近的系统更新中解决了报告的问题”,但 Tyler Murphy 发现该漏洞实际上并未被修复。他提供了更多信息,Apple 再次回复称仍在调查中。
5 月,Apple 再次表示该问题仍在调查中,并要求 Tyler Murphy 在调查结束前不要公开披露此事。Tyler Murphy 提议 Apple 暂停创建全新的“隐藏邮件地址”功能,作为一项临时措施以降低客户风险,但没有证据表明该建议被采纳。5 月底,Apple 表示预计将在未来几周内发布的安全更新中解决该问题。
“隐藏邮件地址”是 iCloud+ 的一项功能,让用户生成随机的别名电子邮件地址,主要用于注册服务或与第三方通信。它旨在保护用户的真实电子邮件地址免受垃圾邮件、数据泄露和未经授权的身份识别。
Tyler Murphy 指出,许多人员搜索数据库可在网上免费访问,这些数据库可以将电子邮件地址与个人的其他个人信息关联起来,这意味着任何依赖“隐藏邮件地址”来保障自身安全的用户,其风险可能比他们意识到的更大。上个月,有消息称,Apple 决定将“隐藏邮件地址”迁移至专用域名“private.icloud.com”,这使得想要屏蔽 iCloud 别名的平台更容易做到这一点。
