星途科讯 8小时前
iCloud+隐藏邮箱现严重漏洞,苹果多次修复未果
index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_keji1.html

 

iCloud+ 付费用户引以为傲的隐私保护屏障出现裂痕。一项存在超过一年的安全漏洞,使得 " 隐藏电子邮件地址 " 功能失效,攻击者可通过该漏洞直接读取用户的真实邮箱地址。

隐私功能变 " 透明 ",真实身份面临暴露风险

" 隐藏电子邮件地址 " 是苹果于 2021 年秋季随 iCloud+ 推出的核心隐私功能,基于 " 通过 Apple 登录 " 构建。其初衷是生成随机别名地址并将邮件转发至主收件箱,从而切断用户与服务提供商之间的直接联系,有效规避垃圾邮件并保护注册隐私。

然而,安全研究员泰勒 · 墨菲(Tyler Murphy)的发现揭示了这一机制的脆弱性。据媒体报道,在有限的测试中,100% 的被测别名地址均存在漏洞。一旦真实地址被泄露,攻击者可将其与公开数据源进行关联,彻底瓦解用户的匿名性。对于依赖该功能严格分离数字身份的 IT 专业人员而言,风险尤为显著。

苹果修复滞后,曾误判漏洞已解决

墨菲于 2025 年 6 月首次发现此漏洞,随即向苹果上报并提供了详细的复现指南。尽管苹果确认收到报告,但修复进程缓慢且充满波折。

2026 年 3 月,苹果曾声称问题已得到解决。但墨菲随后的测试表明,漏洞依然存在。直至同年 5 月,苹果才再次表态,称正在调查情况并准备推出补丁。在此期间,墨菲甚至建议苹果暂停销售 iCloud+ 服务以防风险扩大,但该提议未被采纳。

据悉,利用该漏洞的技术门槛并不高。有媒体在测试中仅用五分钟便成功揭露了一个受保护的地址。主要风险来自于自动化数据处理者,公开的个人信息搜索服务可能利用此漏洞大规模关联用户真实身份。

技术架构调整或将引发新挑战

除修补漏洞外,苹果还计划对底层技术进行调整。未来的邮件转发地址将从原有的 icloud.com 域名迁移至 private.icloud.com。这一变更不仅涉及 " 隐藏电子邮件 " 功能,也可能波及 " 通过 Apple 登录 " 体系。

业界担忧,这种域名变更可能使服务提供商更容易识别并屏蔽苹果的别名地址,导致用户在注册时被更频繁地要求提供常规电子邮件地址,从而削弱该功能的实用性。

用户应对建议与替代方案

鉴于苹果宣布将在未来几周内推出安全更新,目前的过渡期显得尤为关键。对于仅用于防止新闻通讯垃圾邮件的非敏感场景,该功能仍可继续使用;但若涉及关键数据隐私或绝对匿名需求,建议暂时停用。

注重安全的用户可考虑转向成熟的替代服务,如 Proton 旗下的 SimpleLogin 或 Addy.io。这些开源工具允许用户使用自定义域名作为别名,不仅能避免因已知一次性域名而被屏蔽,还能提供更灵活的数据流控制权。在苹果最终修复漏洞前,保持警惕并审慎处理个人身份信息是当前的最佳策略。

【星途科讯 图文丨王宇洲 首发于 ZAKER 科技,转载请注明出处】

宙世代

宙世代

ZAKER旗下Web3.0元宇宙平台

一起剪

一起剪

ZAKER旗下免费视频剪辑工具

相关标签

apple 安全漏洞 个人信息 自动化 开源
相关文章
评论
没有更多评论了
取消

登录后才可以发布评论哦

打开小程序可以发布评论哦

12 我来说两句…
打开 ZAKER 参与讨论