HomeZ - 横幅首页 ita苹果“隐藏我的邮箱”漏洞在安全测试中被 100% 利用

苹果“隐藏我的邮箱”漏洞在安全测试中被 100% 利用

苹果“隐藏我的邮箱”(Hide My Email)功能中的一个安全漏洞,可能使数百万 iCloud Plus 订阅用户暴露在风险之中——他们的真实邮箱地址会悄悄地对任何愿意使用基础身份搜索工具的人可见。这并不是理论上的风险。根据 Easy Opt Out 联合创始人 Tyler Murphy 的说法,每一个被测试的“隐藏我的邮箱”地址都可以被利用。

要点总结

  • 苹果“隐藏我的邮箱”服务中的一个漏洞,允许任何人使用公开可访问的身份搜索工具,找出用户的真实邮箱地址。
  • Easy Opt Out 的 Tyler Murphy 于 2025 年 6 月将该漏洞告知苹果;苹果在 2026 年 3 月声称已修复,但漏洞依然存在。
  • 对志愿者的测试显示,所有被测试的“隐藏我的邮箱”地址的利用率为 100%。
  • 苹果计划进行更新,包括将域名从 icloud.com 更改为 private.icloud.com,但完整修复的时间表仍不明朗。
  • 专家建议 iCloud Plus 订阅用户在问题解决前暂时停止使用“隐藏我的邮箱”。

安全漏洞暴露苹果“隐藏我的邮箱”中的真实邮箱

“隐藏我的邮箱”基于一个简单的承诺构建:你使用 icloud.com 域名下的一次性别名注册网站,你的真实收件箱保持不可见。这个别名吸收垃圾邮件、按计划失效,并保持你的身份干净。对于入门档每月大约一美元的 iCloud Plus 费用来说,这看起来像是稳健的隐私卫生措施

这个承诺出现了严重裂缝。向首次报道并验证该漏洞的 404 Media 透露时,Murphy 表示,公开可访问的人肉搜索网站可以轻松将“隐藏我的邮箱”地址与其他个人信息关联起来,这意味着任何有足够动机的人——数据经纪人、跟踪者、诈骗者——都不需要高超的黑客技术,就能从别名反推到真实收件箱。

Easy Opt Out 进行了对志愿者的受控测试,结果非常鲜明:被测试的“隐藏我的邮箱”地址中,有 100% 可被用来通过向公众开放的身份搜索工具找出用户的真实邮箱地址。Murphy 拒绝公开描述利用方式的具体机制,而 404 Media 在报道时也保留了技术细节,以防止立即出现大规模利用。

考虑到该功能的性质,这一影响更难被忽视。“隐藏我的邮箱”存在的目的,正是用于那些一旦暴露就会带来真实后果的场景——注册可能日后被攻破的服务、限制数据经纪人的可见性、保护处于敏感处境的用户。Murphy 特别警告称,“依赖‘隐藏我的邮箱’来保障安全的人可能正处于风险之中”,这一表态使问题不再只是小众的技术故障。

发现、报告与苹果的响应时间线

2025 年 6 月的早期发现与报告

Murphy 首次向苹果发出漏洞警报是在 2025 年 6 月——比公开披露早了一年多。仅这一时间线就值得停下来思考。一个正在商业化使用的隐私功能,在已知且被验证存在安全缺陷的情况下,整整一年都未打补丁,用户持续暴露在风险之中。

苹果 2026 年 3 月声称修复与漏洞的持续存在

2026 年 3 月,苹果告知 Murphy 问题已经解决。Murphy 进行了检查。结果并非如此。在苹果声称完成修复后,该漏洞仍然可以被完全利用,这对其在作出保证前所进行的内部测试严谨性提出了质疑。

关于公开披露的分歧

2026 年 5 月,苹果承认仍在调查中,并要求 Murphy 暂缓公开。苹果的表述很直接:“为避免让我们的客户处于风险之中,我们希望您在我们的调查完成之前不要披露这些信息。”Murphy 不同意。他仍然选择公开,认为用户有权知晓这一已持续一年多且尚未解决的风险。

这种分歧反映了安全研究中的真实张力。协调披露——研究人员在公司打补丁前给予时间——是标准做法,通常具有保护作用。但当公司错过自己声称的修复期限、持续拖延、仍未给出确认的解决日期时,研究人员就面临艰难抉择。Murphy 的立场是:继续保持沉默,就意味着让那些毫不知情、认为自己的隐私工具可靠的用户继续暴露在风险之中。

在公开披露之后,苹果没有回应 404 Media 或 CNET 的置评请求。

对用户的影响与苹果计划的更新

对于当前正在使用“隐藏我的邮箱”的任何人,安全专家给出的实际建议很简单:在苹果确认有效修复之前,暂时停止使用该功能。风险并非抽象——问题在于,你使用过的每一个别名,都可能被拥有标准数据经纪人工具的人追溯到你的真实收件箱。

苹果表示,计划在今年夏天对该功能进行多项更新。目前披露得最具体的变化是将邮箱域名从 icloud.com 切换为 private.icloud.com。这一特定变更背后的原因尚未在公开场合解释,而新的子域结构本身也带来新的复杂性。

如果网站和服务开始识别并屏蔽以 private.icloud.com 结尾的地址——这是一个现实的结果,因为许多平台已经会标记或拒绝已知的别名域名——“隐藏我的邮箱”用户可能会被迫重新使用自己的真实地址。这将从根本上削弱该功能的核心目的。苹果在更新规划中是否充分考虑了这一连锁反应,目前仍是一个悬而未决的问题。

这并不是苹果第一次在其隐私品牌形象与隐私工具的实际表现之间发生冲突。2022 年,即便关闭了“iPhone 分析”设置,iPhone 应用仍被发现会向苹果发送分析数据。2023 年,用于匿名化 Wi‑Fi 连接的 MAC 地址随机化功能被发现反而暴露了用户的真实 MAC 地址。每一次事件都在侵蚀同一基础:苹果长期精心打造的“默认重视用户隐私”的声誉。

“隐藏我的邮箱”漏洞在一个关键方面有所不同——它影响的是用户出于自我保护目的而主动启用的功能。期望与现实之间的落差,恰恰出现在风险最高的地方。

常见问题

在苹果“隐藏我的邮箱”服务中发现的漏洞是什么?

一个安全缺陷允许攻击者利用基础且公开可访问的身份搜索工具,找出与“隐藏我的邮箱”别名关联的用户真实邮箱地址。Easy Opt Out 的测试显示,所有被测试地址的利用率为 100%。

苹果是什么时候首次得知“隐藏我的邮箱”漏洞的?

苹果在 2025 年 6 月 收到 Easy Opt Out 联合创始人 Tyler Murphy 关于该漏洞的通知。

苹果是否已经修复了“隐藏我的邮箱”的漏洞?

苹果声称已在 2026 年 3 月 修复该问题,但 Murphy 确认在此日期之后漏洞仍然存在。截至 2026 年 7 月公开披露时,苹果尚未确认已找到有效解决方案。

苹果计划采取哪些措施来提升“隐藏我的邮箱”的安全性?

苹果计划通过将邮箱域名从 icloud.com 更改为 private.icloud.com来更新“隐藏我的邮箱”,以及在 2026 年夏季晚些时候推出的其他更新。目前尚未确认这些措施是否能完全堵上这一漏洞。

{“@context”:”https://schema.org”,”@type”:”FAQPage”,”mainEntity”:[{“@type”:”Question”,”name”:”在苹果“隐藏我的邮箱”服务中发现的漏洞是什么?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”一个安全缺陷允许攻击者利用基础且公开可访问的身份搜索工具,找出与“隐藏我的邮箱”别名关联的用户真实邮箱地址。Easy Opt Out 的测试显示,所有被测试地址的利用率为 100%。”}},{“@type”:”Question”,”name”:”苹果是什么时候首次得知“隐藏我的邮箱”漏洞的?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”苹果在 2025 年 6 月 收到 Easy Opt Out 联合创始人 Tyler Murphy 关于该漏洞的通知。”}},{“@type”:”Question”,”name”:”苹果是否已经修复了“隐藏我的邮箱”的漏洞?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”苹果声称已在 2026 年 3 月 修复该问题,但 Murphy 确认在此日期之后漏洞仍然存在。截至 2026 年 7 月公开披露时,苹果尚未确认已找到有效解决方案。”}},{“@type”:”Question”,”name”:”苹果计划采取哪些措施来提升“隐藏我的邮箱”的安全性?”,”acceptedAnswer”:{“@type”:”Answer”,”text”:”苹果计划通过将邮箱域名从 icloud.com 更改为 private.icloud.com 来更新“隐藏我的邮箱”,以及在 2026 年夏季晚些时候推出的其他更新。目前尚未确认这些措施是否能完全堵上这一漏洞。”}}]}

本文由人工智能协助生成,并由编辑团队审核。

Satoshi Voice
本文在人工智能的支持下完成,并由我们的记者团队审核,以确保准确性和质量。
RELATED ARTICLES

Stay updated on all the news about cryptocurrencies and the entire world of blockchain.

Featured video

LATEST