苹果一个很核心的隐私承诺,被戳出了洞。
404 Media 报道称,iCloud+ 付费功能 Hide My Email 存在漏洞。用户生成的隐藏邮箱,本来用来隔开真实 Apple 账户邮箱;但研究人员在测试中,可以反推出真实邮箱。404 Media 自测时,新建了一个隐藏邮箱交给研究人员,大约 5 分钟后,对方返回了其真实 Apple 账户邮箱。
这不是“多收几封垃圾邮件”的小事。很多人用 Hide My Email,是为了防身份关联、防数据泄露牵连、防陌生网站拿到真邮箱。现在出问题的,正是这层隔离。
漏洞没有公开,风险边界要说清
404 Media 没有披露复现细节。原因很简单:截至其验证时,漏洞仍可利用。安全报道不该把提醒写成教程。
把关键事实压缩成一张表:
| 问题 | 当前信息 |
|---|---|
| 涉及功能 | Apple iCloud+ 的 Hide My Email,付费隐私功能 |
| 漏洞结果 | 隐藏邮箱可能被反推出真实 Apple 账户邮箱 |
| 发现者 | EasyOptOuts 联合创始人 Tyler Murphy 等 |
| 报告时间 | Murphy 称 2025 年 6 月已向苹果报告,并提供复现步骤 |
| 苹果处理 | 苹果曾称已修复;研究人员复测认为未修 |
| 披露进展 | 今年 5 月苹果仍要求暂缓披露,称未来几周安全更新会处理 |
| 已知范围 | 有限志愿者测试中可被利用;影响范围未知 |
| 风险边界 | 目前报道指向真实邮箱暴露,不等于 Apple ID 被接管 |
这里必须克制。没有证据表明所有 Hide My Email 用户都已经泄露。也没有证据表明苹果主动出售或出卖用户数据。报道能支撑的结论,是漏洞可被利用、响应拖得太久、隐私承诺被打穿。
但克制不等于轻描淡写。
真实邮箱是互联网身份的钥匙孔。它常常能和数据经纪商、人肉搜索网站、历史泄露库拼在一起。单看只是一个邮箱,拼起来就是更完整的个人画像。Murphy 也提到,公开可访问的人物搜索网站,会让邮箱和其他个人信息更容易被串联。
受影响最大的,不是偶尔注册一次小网站的人。
更该紧张的是两类用户:一类是长期用 Hide My Email 隔离购物、论坛、服务注册的人;另一类是把它当成反骚扰、反跟踪、反数据泄露工具的重度隐私用户。对他们来说,真实邮箱一旦被反推,损失不是一个别名失效,而是身份隔离失败。
付费隐私功能,责任标准要更高
Hide My Email 不是免费彩蛋。它属于 iCloud+。用户付费买的不只是存储空间,也是在买苹果反复讲的隐私保护。
所以这件事的刺眼处,不在“苹果也会有漏洞”。所有软件都会有漏洞。刺眼的是时间线。
研究人员称 2025 年 6 月报告,苹果中间说过已修复,复测却认为没有修好。今年 5 月,苹果仍要求暂缓披露,并称未来几周安全更新会处理。对一个仍在销售、仍在承诺保护身份隔离的功能来说,这个节奏太慢。
如果这是边缘实验功能,慢一点还说得过去。可 Hide My Email 卖的是“别让网站知道你是谁”。这类功能失守后,平台至少要做到三件事:确认问题、修复问题、告诉受影响用户该怎么做。
现在最缺的,是第三件。
普通用户不需要知道漏洞怎么复现,但需要知道自己该如何降低风险。更现实的做法是:继续把 Hide My Email 当作防垃圾邮件工具可以,但不要把它当成高强度匿名方案。涉及敏感身份、职业风险、骚扰风险的注册,先使用独立邮箱或专门身份隔离方案,不要只押在苹果这个功能上。
已经重度使用 Hide My Email 的用户,可以做几件低成本动作:
- 检查哪些别名绑定了敏感服务,优先替换或停用高风险别名。
- 对真实 Apple 账户邮箱开启更严格的登录保护和泄露监控。
- 等苹果发布安全更新后再判断是否恢复信任,不要只看“功能还在”就默认已安全。
- 如果某个服务本身可能暴露身份,别用同一个真实邮箱做最终收口。
这不是让所有人立刻弃用 Hide My Email。现实约束也要讲清:对多数普通注册场景,它仍可能比直接交出真实邮箱更好。问题在于,用户不能再把它理解成一堵墙。它更像一层帘子,挡得住广告邮件,未必挡得住有目标的反查。
苹果过去几年把隐私做成了品牌资产。广告牌上写“Privacy. That’s iPhone.”,发布会上讲本地处理、最小化数据、反追踪。这套叙事有效,也确实抬高了行业标准。
但招牌越亮,灰尘越显眼。
“天下熙熙,皆为利来。”这句话放在这里不算刻薄。隐私对苹果不是纯口号,它能带来溢价、锁定用户、削弱广告平台。既然隐私能变成商业护城河,隐私事故也要按商业承诺来结账。
接下来别只看补丁,要看苹果怎么告知
TechCrunch 此前还报道,苹果计划把 Hide My Email 生成地址的域名从 icloud.com 改为 private.icloud.com。
这和本次漏洞不是一回事。但放在一起看,会出现另一个尴尬问题:域名更清楚,网站也可能更容易识别并屏蔽这类地址。
| 变量 | 用户看到的好处 | 现实风险 |
|---|---|---|
| 漏洞修复 | 真实邮箱不再被反推 | 修复是否彻底,外界目前只能等验证 |
| 域名改为 private.icloud.com | 隐私邮箱身份更清晰 | 网站可能更容易识别、拒收或限制注册 |
| 苹果公开说明 | 用户能判断风险 | 如果只静默修复,信任损耗还会留着 |
隐私工具最怕两头落空:用户以为自己被保护,网站一眼看出你在隐藏,攻击者还能往回摸到真实身份。那就不是隔离层,而是心理安慰层。
接下来最该观察的不是苹果会不会发一个安全更新。那只是底线。
更关键的是三件事:苹果是否明确说明漏洞影响范围;是否通知可能受影响的用户;是否给出可执行的补救建议。只说“已修复”,不够。对付费隐私功能来说,沉默会继续计入成本。
我更在意的,也不是苹果会不会犯错。大平台都会犯错。真正区分水平的,是犯错之后有没有把用户当成需要决策的人,而不是只把用户当成需要安抚的对象。
隐私不是一句广告词。它是漏洞响应、用户告知、补救流程和长期信任的总和。哪一环掉了,牌子都会变薄。
