Apple Hide My Email 漏洞揭露私人電子郵件地址
Apple Hide My Email 漏洞揭露私人電子郵件地址
Apple 的 Hide My Email 服務旨在透過在真實電子郵件地址與第三方之間充當中間人來保護 iCloud+ 使用者的隱私,但該服務存在漏洞,允許攻擊者發現生成別名背後的隱藏永久電子郵件地址。儘管在一年多前就已向 Apple 報告,但截至 2026 年 6 月 30 日,這些問題仍未修復。
電子郵件遮蔽中的未修復漏洞
EasyOptOuts 的研究人員發現了 Hide My Email 系統中的漏洞,這些漏洞可以繞過該服務提供的匿名性。Hide My Email 的主要目的是生成隨機、唯一的地址(例如 random.email.22@icloud.com)以遮蔽使用者的實際地址(例如 realname@example.com)。這些漏洞允許攻擊者反向執行此過程並識別使用者的真實身份。
為了防止進一步的利用,研究人員保留了漏洞利用的具體技術細節。然而,該漏洞已由 404 Media 的 Joseph Cox 驗證,他展示了向第三方提供一個新的 Hide My Email 別名,可以讓該第三方發現與該帳戶關聯的 Apple ID 電子郵件地址。
披露時間線與 Apple 的回應
發現與報告過程的特點是缺乏解決方案,且 Apple 對於修復狀態的報告存在衝突。
- 2025 年 6 月 11 日: EasyOptOuts 發現了漏洞並向 Apple 報告。Apple 確認該服務並非設計用於允許發現隱藏地址。
- 2025 年 6 月 13 日: 向 Apple 提交了詳細的重現步驟。
- 2025 年 7 月 9 日: 報告了第二個不同的漏洞,允許發現隱藏地址。
- 2026 年 3 月 3 日: Apple 聲稱漏洞已修復。研究人員在 2026 年 3 月 19 日進行的驗證證明漏洞仍然存在。
- 2026 年 5 月 22 日: 研究人員報告漏洞的嚴重程度和範圍比最初認為的更大。此報告未獲得 Apple 的確認。
- 2026 年 6 月 30 日: Apple 再次聲稱漏洞已修復,但隨後研究人員的驗證確認漏洞仍未修復。
社群分析與技術推測
雖然具體的漏洞利用方式尚未披露,但技術社群已對洩漏的潛在機制進行了推測。有些人認為漏洞可能源於電子郵件生態系統如何處理無法投遞的錯誤或 SMTP 協定暴露。
有一種理論認為,向 Hide My Email 地址發送帶有過大附件的電子郵件,可能會觸發目標電子郵件伺服器(使用者的真實地址)的響應,該伺服器會拒絕該郵件,從而在響應標頭中洩露真實地址。
一些觀察者對風險等級提出了質疑,指出該漏洞可能是電子郵件協定本身的結構性權衡,或者 Apple 可能正在透過基礎設施變更來實施緩解措施,例如將別名移至專用的 private.icloud.com 網域。
使用者影響與風險緩解
使用 Hide My Email 進行帳戶註冊或免費試用的人,如果攻擊者針對其別名進行攻擊,則有可能面臨其永久電子郵件地址被暴露的風險。研究人員建議 Apple 應該通知所有 Hide My Email 使用者有關此風險,並在實施永久修復之前限制新別名的創建。