苹果一个很核心的隐私承诺,被戳出了洞。

404 Media 报道称,iCloud+ 付费功能 Hide My Email 存在漏洞。用户生成的隐藏邮箱,本来用来隔开真实 Apple 账户邮箱;但研究人员在测试中,可以反推出真实邮箱。404 Media 自测时,新建了一个隐藏邮箱交给研究人员,大约 5 分钟后,对方返回了其真实 Apple 账户邮箱。

这不是“多收几封垃圾邮件”的小事。很多人用 Hide My Email,是为了防身份关联、防数据泄露牵连、防陌生网站拿到真邮箱。现在出问题的,正是这层隔离。

漏洞没有公开,风险边界要说清

404 Media 没有披露复现细节。原因很简单:截至其验证时,漏洞仍可利用。安全报道不该把提醒写成教程。

把关键事实压缩成一张表:

问题当前信息
涉及功能Apple iCloud+ 的 Hide My Email,付费隐私功能
漏洞结果隐藏邮箱可能被反推出真实 Apple 账户邮箱
发现者EasyOptOuts 联合创始人 Tyler Murphy 等
报告时间Murphy 称 2025 年 6 月已向苹果报告,并提供复现步骤
苹果处理苹果曾称已修复;研究人员复测认为未修
披露进展今年 5 月苹果仍要求暂缓披露,称未来几周安全更新会处理
已知范围有限志愿者测试中可被利用;影响范围未知
风险边界目前报道指向真实邮箱暴露,不等于 Apple ID 被接管

这里必须克制。没有证据表明所有 Hide My Email 用户都已经泄露。也没有证据表明苹果主动出售或出卖用户数据。报道能支撑的结论,是漏洞可被利用、响应拖得太久、隐私承诺被打穿。

但克制不等于轻描淡写。

真实邮箱是互联网身份的钥匙孔。它常常能和数据经纪商、人肉搜索网站、历史泄露库拼在一起。单看只是一个邮箱,拼起来就是更完整的个人画像。Murphy 也提到,公开可访问的人物搜索网站,会让邮箱和其他个人信息更容易被串联。

受影响最大的,不是偶尔注册一次小网站的人。

更该紧张的是两类用户:一类是长期用 Hide My Email 隔离购物、论坛、服务注册的人;另一类是把它当成反骚扰、反跟踪、反数据泄露工具的重度隐私用户。对他们来说,真实邮箱一旦被反推,损失不是一个别名失效,而是身份隔离失败。

付费隐私功能,责任标准要更高

Hide My Email 不是免费彩蛋。它属于 iCloud+。用户付费买的不只是存储空间,也是在买苹果反复讲的隐私保护。

所以这件事的刺眼处,不在“苹果也会有漏洞”。所有软件都会有漏洞。刺眼的是时间线。

研究人员称 2025 年 6 月报告,苹果中间说过已修复,复测却认为没有修好。今年 5 月,苹果仍要求暂缓披露,并称未来几周安全更新会处理。对一个仍在销售、仍在承诺保护身份隔离的功能来说,这个节奏太慢。

如果这是边缘实验功能,慢一点还说得过去。可 Hide My Email 卖的是“别让网站知道你是谁”。这类功能失守后,平台至少要做到三件事:确认问题、修复问题、告诉受影响用户该怎么做。

现在最缺的,是第三件。

普通用户不需要知道漏洞怎么复现,但需要知道自己该如何降低风险。更现实的做法是:继续把 Hide My Email 当作防垃圾邮件工具可以,但不要把它当成高强度匿名方案。涉及敏感身份、职业风险、骚扰风险的注册,先使用独立邮箱或专门身份隔离方案,不要只押在苹果这个功能上。

已经重度使用 Hide My Email 的用户,可以做几件低成本动作:

  • 检查哪些别名绑定了敏感服务,优先替换或停用高风险别名。
  • 对真实 Apple 账户邮箱开启更严格的登录保护和泄露监控。
  • 等苹果发布安全更新后再判断是否恢复信任,不要只看“功能还在”就默认已安全。
  • 如果某个服务本身可能暴露身份,别用同一个真实邮箱做最终收口。

这不是让所有人立刻弃用 Hide My Email。现实约束也要讲清:对多数普通注册场景,它仍可能比直接交出真实邮箱更好。问题在于,用户不能再把它理解成一堵墙。它更像一层帘子,挡得住广告邮件,未必挡得住有目标的反查。

苹果过去几年把隐私做成了品牌资产。广告牌上写“Privacy. That’s iPhone.”,发布会上讲本地处理、最小化数据、反追踪。这套叙事有效,也确实抬高了行业标准。

但招牌越亮,灰尘越显眼。

“天下熙熙,皆为利来。”这句话放在这里不算刻薄。隐私对苹果不是纯口号,它能带来溢价、锁定用户、削弱广告平台。既然隐私能变成商业护城河,隐私事故也要按商业承诺来结账。

接下来别只看补丁,要看苹果怎么告知

TechCrunch 此前还报道,苹果计划把 Hide My Email 生成地址的域名从 icloud.com 改为 private.icloud.com。

这和本次漏洞不是一回事。但放在一起看,会出现另一个尴尬问题:域名更清楚,网站也可能更容易识别并屏蔽这类地址。

变量用户看到的好处现实风险
漏洞修复真实邮箱不再被反推修复是否彻底,外界目前只能等验证
域名改为 private.icloud.com隐私邮箱身份更清晰网站可能更容易识别、拒收或限制注册
苹果公开说明用户能判断风险如果只静默修复,信任损耗还会留着

隐私工具最怕两头落空:用户以为自己被保护,网站一眼看出你在隐藏,攻击者还能往回摸到真实身份。那就不是隔离层,而是心理安慰层。

接下来最该观察的不是苹果会不会发一个安全更新。那只是底线。

更关键的是三件事:苹果是否明确说明漏洞影响范围;是否通知可能受影响的用户;是否给出可执行的补救建议。只说“已修复”,不够。对付费隐私功能来说,沉默会继续计入成本。

我更在意的,也不是苹果会不会犯错。大平台都会犯错。真正区分水平的,是犯错之后有没有把用户当成需要决策的人,而不是只把用户当成需要安抚的对象。

隐私不是一句广告词。它是漏洞响应、用户告知、补救流程和长期信任的总和。哪一环掉了,牌子都会变薄。