Apple Hide My Email 漏洞泄露私人电子邮件地址
Apple Hide My Email 漏洞泄露私人电子邮件地址
Apple 的 Hide My Email 服务旨在通过在真实电子邮件地址与第三方之间充当中间人来保护 iCloud+ 用户的隐私,但该服务存在漏洞,允许攻击者通过生成的别名发现其背后的隐藏永久电子邮件地址。尽管在一年多前就已向 Apple 报告,但截至 2026 年 6 月 30 日,这些问题仍未得到修复。
电子邮件掩码中的未修复漏洞
EasyOptOuts 的研究人员发现了 Hide My Email 系统中的漏洞,这些漏洞可以绕过该服务提供的匿名性。Hide My Email 的主要目的是生成随机、唯一的地址(例如,random.email.22@icloud.com)以掩盖用户的实际地址(例如,realname@example.com)。这些漏洞允许攻击者反转这一过程并识别用户的真实身份。
为了防止进一步的利用,研究人员已保留了漏洞利用的具体技术细节。然而,该漏洞已由 404 Media 的 Joseph Cox 验证,他证明了向第三方提供一个新的 Hide My Email 别名,可以让该第三方发现与账户关联的 Apple ID 电子邮件地址。
披露时间线与 Apple 的回应
发现和报告过程的特点是缺乏解决结果,且 Apple 关于修复状态的报告存在冲突。
- 2025 年 6 月 11 日: EasyOptOuts 发现了该漏洞并向 Apple 报告。Apple 确认该服务并非设计用于允许发现隐藏地址。
- 2025 年 6 月 13 日: 向 Apple 提交了详细的复现步骤。
- 2025 年 7 月 9 日: 报告了第二个不同的、允许发现隐藏地址的漏洞。
- 2026 年 3 月 3 日: Apple 声称漏洞已修复。研究人员在 2026 年 3 月 19 日进行的验证证明漏洞仍然存在。
- 2026 年 5 月 22 日: 研究人员报告称,该漏洞的严重程度和范围比最初认为的更大。此报告未得到 Apple 的确认。
- 2026 年 6 月 30 日: Apple 再次声称漏洞已修复,但研究人员随后的验证确认漏洞仍未修复。
社区分析与技术推测
虽然具体的漏洞利用方式尚未披露,但技术社区已对泄露的潜在机制进行了推测。一些人认为,该漏洞可能源于电子邮件生态系统如何处理无法投递的错误或 SMTP 协议暴露。
一种理论认为,向 Hide My Email 地址发送带有超大附件的电子邮件可能会触发目标电子邮件服务器(用户的真实地址)的响应,该服务器会拒绝该邮件,从而在响应头中泄露真实地址。
一些观察者对风险等级提出了质疑,指出该漏洞可能是电子邮件协议本身的结构性权衡,或者 Apple 可能正在通过基础设施变更来实施缓解措施,例如将别名移动到专门的 private.icloud.com 域名下。
其他人则对 Apple 的沟通表示沮丧,理由是与其他 Apple 电子邮件系统报告的类似经历。
用户影响与风险缓解
对于使用 Hide My Email 进行账户注册或免费试用的用户,如果攻击者针对其别名进行攻击,则有可能面临其永久电子邮件地址被泄露的风险。研究人员建议,Apple 应通知所有 Hide My Email 用户该风险,并限制在实施永久修复之前创建新别名的功能。