关键要点:
- 苹果的"隐藏邮件"功能存在一个漏洞,可能暴露用户的真实电子邮件地址
- 安全研究员泰勒·墨菲于2025年6月向苹果报告该漏洞,至今未得到修补
- 该缺陷威胁到苹果的隐私品牌形象,可能对iCloud+订阅增长构成压力
关键要点:

苹果(Apple)"隐藏邮件"(Hide My Email)功能存在一个漏洞,攻击者可借此获取数百万iCloud+用户用来隐藏真实收件箱的加密地址,而该公司已超过一年未修复该问题。
"隐藏邮件的用户应该知道,攻击者可能发现他们隐藏的电子邮件地址,"数据清除服务EasyOptOuts联合创始人泰勒·墨菲(Tyler Murphy)向404 Media表示。
墨菲于2025年6月发现该漏洞并向苹果报告。该公司一个月后回应称正在调查。2026年3月,苹果声称已通过系统变更解决了该问题,但墨菲发现该漏洞仍然可以被利用。据404 Media自行验证,在与志愿者进行的测试中,100%的隐藏邮件地址都存在风险。
该漏洞削弱了苹果iCloud+服务的核心卖点。该服务向订阅用户收取费用,提供包括隐藏邮件、iCloud私密中转(Private Relay)和HomeKit安全视频在内的隐私功能。苹果股票目前交易价格约为远期市盈率的30倍,而包括iCloud订阅在内的服务收入在2025财年达到263亿美元,在硬件销售放缓之际,该业务板块成为关键增长驱动力。
墨菲表示,任何人只要有权限访问某个隐藏邮件别名,都能在几分钟内追踪到该用户真实的苹果ID电子邮件地址。公开可访问的人肉搜索网站随后可轻易将该邮箱与电话号码、实际地址等个人信息关联起来,从而使隐私风险扩大到苹果生态系统之外。
苹果尚未披露该漏洞的技术细节,404 Media也隐去了具体信息以防止被主动利用。该媒体确认该漏洞截至2026年7月1日仍然存在,当时它使用自己生成的一个地址验证了这一问题。
这并非苹果的隐私承诺首次落空。2022年,该公司因iPhone应用在"iPhone分析"设置关闭后仍继续向苹果发送分析数据而面临集体诉讼。2023年,研究人员发现苹果的MAC地址随机化功能——旨在让用户在Wi-Fi网络上匿名——实际上反而暴露了真实的MAC地址。
时机加剧了损害。2026年6月,苹果告诉开发者,将停止生成@icloud.com域的隐藏邮件地址,转而切换到@privaterelay.appleid.com域。TechCrunch报道称,这一变化将使网站更容易屏蔽匿名注册。域名变更加上未解决的漏洞,引发了外界对苹果在该功能核心隐私承诺上投入力度的质疑。
对投资者而言,声誉风险是实质性的。苹果一直以隐私为核心打造品牌溢价,首席执行官蒂姆·库克(Tim Cook)多次将其称为"基本人权"。这种信任的持续侵蚀可能会给iCloud+订阅增长带来压力,而iCloud+所属的服务板块在2025财年创造了263亿美元的收入,约占苹果总营收的22%。苹果未回应置评请求。
本文仅供参考,不构成投资建议。