付费用户可以通过@icloud.com或@privaterelay.appleid.com域名下的随机邮箱地址,将邮件转发至真实邮箱,从而规避数据追踪和垃圾邮件。然而,数据清理服务公司EasyOptOuts的联合创始人Tyler Murphy指出,这一机制存在重大缺陷。
为了检验该漏洞的严重性,404 Media创建了一个新的随机隐藏邮箱地址,并让Murphy进行测试。Murphy在约五分钟内便成功获取了该地址所关联的真实Apple ID邮箱。
Murphy表示,尽管其测试样本量有限,但该漏洞在他测试过的所有隐藏邮箱上都成功被复现,成功率高达100%。IT之家提示,由于该漏洞的具体利用方式尚未披露,目前尚无法确定是否存在其他实体或个人已经利用此漏洞窃取用户信息的可能性。
更令人担忧的是该漏洞的修复进度。EasyOptOuts最早于2025年6月向Apple安全团队报告了复现该漏洞的步骤。到了2026年3月,Apple支持团队声称已通过后端系统更新解决了该问题,但独立验证结果显示漏洞依旧存在。同年5月,Apple工程团队要求研究人员在进一步调查期间保持沉默,并承诺在“未来几周内”发布安全补丁。由于对漫长的延迟感到不满,并且认为用户有权了解其数据面临的暴露风险,研究团队最终决定公开披露这一信息。
Murphy警告,由于公开的人员搜索目录可以轻易地将邮箱信息与家庭住址、电话号码等个人身份信息关联起来,那些依赖此匿名工具进行高风险活动的群体(如记者、活动人士等)正面临直接的身份暴露风险。
这并非Apple首次因其隐私宣传与技术实践不符而受到质疑。近年来,该公司曾因在用户关闭诊断分析追踪功能后仍继续运行而面临法律诉讼;此外,有分析指出Apple用于隐藏设备在公共网络上物理足迹的本地Wi-Fi MAC地址随机化工具也未能有效工作,仍然会泄露真实的标识符。
罗伯特·泰勒
2025年5月24日乐鱼体育APP下载,畅享精彩体育赛事与多元娱乐。
回复瑞秋·泰勒
2025年5月24日乐鱼客户端,安全稳定,为您保驾护航。
回复