重點摘要:
- Apple 的「隱藏我的郵件」功能存在一個漏洞,可能暴露用戶的真實電子郵件地址
- 安全研究員 Tyler Murphy 於 2025 年 6 月向 Apple 回報此漏洞,但至今仍未修補
- 此缺陷威脅 Apple 的隱私品牌形象,並可能對 iCloud+ 訂閱增長帶來壓力
重點摘要:

Apple 旗下供數百萬 iCloud+ 訂閱者用於隱藏真實收件匣的「隱藏我的郵件」(Hide My Email)功能存在一項漏洞,允許攻擊者找出這些被隱藏的地址——而該公司在超過一年的時間內未能進行修補。
「隱藏我的郵件」的用戶應知道,攻擊者有可能發現他們隱藏的電子郵件地址,」資料刪除服務 EasyOptOuts 的聯合創始人 Tyler Murphy 告訴 404 Media。
Murphy 於 2025 年 6 月發現此漏洞並向 Apple 回報。該公司一個月後回應表示正在調查中。2026 年 3 月,Apple 聲稱已透過系統變更解決該問題,但 Murphy 發現該漏洞仍然可被利用。根據 404 Media 自身的驗證,在與志願者共同進行的測試中,100% 的「隱藏我的郵件」地址都存在漏洞。
此缺陷削弱了 Apple iCloud+ 服務的核心賣點。該服務向訂閱者收取費用,以提供包括「隱藏我的郵件」、iCloud 私密轉送(iCloud Private Relay)以及 HomeKit 安全錄影(HomeKit Secure Video)在內的隱私功能。Apple 股票的交易價格約為預期本益比的 30 倍,其服務收入(包括 iCloud 訂閱)在 2025 會計年度達到 263 億美元,使該業務部門在硬體銷售放緩之際成為關鍵的增長驅動力。
Murphy 表示,該漏洞允許任何能存取「隱藏我的郵件」別名的人,在數分鐘內將其追溯回用戶真實的 Apple ID 電子郵件地址。公開可存取的人肉搜索網站隨後可輕易將該郵件地址與電話號碼、實際地址等其他個人資訊連結起來,從而將隱私風險擴大至 Apple 生態系統之外。
Apple 尚未揭露此漏洞的技術細節,而 404 Media 也隱去具體資訊以防止遭到積極利用。該媒體在 2026 年 7 月 1 日使用自身生成的一個地址進行驗證,確認該漏洞當時仍然存在。
這並非 Apple 的隱私承諾首次未能兌現。2022 年,該公司因 iPhone 應用程式在用戶關閉「iPhone 分析」設定後仍持續向 Apple 發送分析資料,而面臨集體訴訟。2023 年,研究人員發現 Apple 的 MAC 地址隨機化功能——旨在讓用戶在 Wi-Fi 網路上匿名——實際上反而暴露了真實的 MAC 地址。
此次事件發生的時機加劇了損害。2026 年 6 月,Apple 告知開發者,將停止生成以 @icloud.com 域名的「隱藏我的郵件」地址,並轉向 @privaterelay.appleid.com 域名。TechCrunch 報導指出,這項變更將使網站更容易屏蔽匿名註冊。域名轉換加上未解決的漏洞,引發了外界對 Apple 對該功能核心隱私承諾的質疑。
對投資者而言,這項聲譽風險影響重大。Apple 一直以隱私為基礎建立其品牌溢價,執行長 Tim Cook 更多次稱隱私為「基本人權」。若這份信任持續遭到侵蝕,可能對 iCloud+ 的訂閱增長構成壓力。iCloud+ 是 Apple 服務部門的一部分,該部門在 2025 會計年度創造了 263 億美元的收入——約佔總收入的 22%。Apple 未回應置評請求。
本文僅供資訊參考,不構成投資建議。