付费用户通过苹果的“Hide My Email”功能,可以创建一个以 @icloud.com 或 @privaterelay.appleid.com 结尾的临时邮箱。发送至这些临时邮箱的邮件会被转发到用户真实的私人邮箱,目的是为了防止数据追踪和垃圾邮件。然而,数据清理服务公司 EasyOptOuts 的联合创始人 Tyler Murphy 指出,这一机制存在重大缺陷。

为了确认该漏洞的严重性,404 Media 创建了一个新的随机隐藏邮箱,并交由 Murphy 进行测试。Murphy 在大约五分钟内就成功找到了该随机邮箱对应的真实 Apple ID 邮箱。

Murphy 表示,尽管他的测试范围有限,但到目前为止,他在所有测试过的隐藏邮箱上都成功复现了该漏洞,成功率达到了 100%。IT之家提醒,由于该漏洞的具体利用方法尚未公开,目前无法确定是否有其他组织或个人已经利用此漏洞获取用户信息。

更令人担忧的是漏洞的修复进展。EasyOptOuts 最早于 2025 年 6 月将漏洞的复现步骤正式通知了 Apple 的安全团队。到了 2026 年 3 月,Apple 支持人员声称已通过后台系统修改解决了该问题,但独立验证显示漏洞依旧存在。同年 5 月,Apple 工程团队要求研究人员在继续调查期间保持公开沉默,并承诺会在“未来几周内”发布安全补丁。由于对长期的延迟感到不满,并且认为用户有权了解其数据面临的暴露风险,研究团队最终决定公开披露此问题。

Murphy 警告称,由于公开的人员搜索目录可以轻易地将邮箱凭证与家庭住址、电话号码等个人信息关联起来,那些依赖此匿名工具进行高风险活动(例如记者、活动人士等)的用户,正面临着直接的身份暴露风险。

这并非 Apple 首次因隐私宣传与技术实际情况不符而受到质疑。近年来,该公司曾因诊断分析跟踪功能在用户关闭后仍然运行而面临法律诉讼;此外,有分析指出 Apple 用于隐藏设备在公共网络上物理足迹的本地 Wi-Fi MAC 地址随机化工具同样未能奏效,仍会泄露真实的标识符。