苹果Hide My Email服务存在一个漏洞,据称几乎任何人都能发现生成别名背后的真实邮箱地址,而自首次报告以来,苹果已经超过一年未能修复这个问题。
404 Media因该漏洞仍可被利用而暂不披露其技术细节,但该媒体本周使用自己的Hide My Email地址验证了这一问题。在发现该漏洞的研究者与志愿者的测试中,100%的Hide My Email地址均被证实存在漏洞。
EasyOptOuts联合创始人Tyler Murphy发现了这个问题,并于2025年6月负责任地向苹果报告,同时提供了复现说明。苹果一个月后确认收到报告并表示正在调查。Murphy说:
苹果Hide My Email正在泄露本应被隐藏的邮箱地址。我们一年多前就向苹果报告了这个问题并提供了复现说明。我们不知道为什么至今仍未修复,但我们不能再安心等待了。Hide My Email用户有权知道,攻击者可能发现他们隐藏的邮箱地址。
免费且公开可访问的个人信息搜索网站很容易将邮箱地址与其他个人详细信息关联起来,因此依赖Hide My Email保障安全的人可能面临风险。
2026年3月,苹果告诉Murphy已通过最近的系统变更“解决了报告的问题”,但Murphy发现漏洞实际上并未被关闭。他提供了更多信息,苹果再次回复称仍在调查中。
5月,苹果再次表示问题仍在调查中,并要求Murphy在调查完成前不要公开披露。他提议苹果暂停创建新的Hide My Email地址作为临时措施来降低客户风险,但没有迹象显示该建议被采纳。到5月底,苹果表示预计将在“未来几周”的安全更新中解决这个问题。
Hide My Email是iCloud+的一项功能,允许用户生成随机别名邮箱地址,主要用于注册服务或与第三方通信。它旨在保护用户的真实邮箱地址免受垃圾邮件、数据泄露和不必要的身份识别。
Murphy指出,网上有大量免费的个人信息搜索数据库,可以将邮箱地址与个人的其他详细信息关联起来,这意味着依赖Hide My Email保障安全的人可能比他们意识到的更易暴露。上个月有消息称,苹果将Hide My Email移至专用的“private.icloud.com”域名的决定,似乎让希望阻止iCloud别名的平台更容易实现这一操作。







