國外媒體 404 Media 近日揭露,Apple iCloud+ 的「隱藏我的電子郵件」(Hide My Email)功能存在一項尚未修補的安全漏洞,可能讓外界在特定情況下取得使用者的真實電子郵件地址。這項漏洞由安全研究員 Tyler Murphy 發現,他在去年便已向 Apple 通報,但問題至今仍未獲得完整修復。
iCloud 「隱藏電子郵件」功能有 Bug,真實位址可被取得
根據報導,404 Media 雖未公開漏洞的技術細節,但已在多次測試中證實,透過「隱藏我的電子郵件」所生成的匿名地址背後,使用者的真實 iCloud 郵箱仍可能被揭露。依照安全領域的慣例,研究人員通常會在漏洞修補後才公布相關資訊,以避免造成更大的風險。然而,由於 Apple 遲遲未能解決問題,且漏洞已存在一年之久,Murphy 最終選擇公開此事,希望藉此促使 Apple 加速處理。
Murphy 表示,他在首次回報漏洞後一個月,Apple 曾告知問題已修復。但他在更新後仍能成功重現漏洞,並再次向 Apple 提供更多細節。去年五月,Apple 回覆仍在調查此問題,但後續並未提供明確進展。如今漏洞依然存在,使得「隱藏我的電子郵件」的隱私保護效果受到質疑。
「隱藏我的電子郵件」是 iCloud+ 的主打功能之一,讓使用者在註冊網站或應用程式時建立匿名電子郵件地址,以避免暴露真實身分。依照 Apple 官方說法,這些隨機生成的地址僅供特定服務聯繫使用者,所有郵件會轉寄至使用者的主 iCloud 帳戶,但寄件方無法得知真實地址。正因如此,該功能深受重視隱私的用戶歡迎。
然而在漏洞尚未修補的情況下,使用者仍需提高警覺。雖然功能仍可使用,但其隱私保障可能不如預期可靠。如果你對匿名郵箱的安全性有所疑慮,暫時可採取替代方案,例如在 Gmail、Yahoo 等免費郵件服務建立一個專門用於註冊非關鍵帳戶的次要郵箱,直到 Apple 正式修復問題為止。
值得注意的是,Apple 近期宣布將調整「隱藏我的電子郵件」的域名格式。未來新建立的匿名地址將改用 @private.icloud.com,而非過去的 @icloud.com。此變更可能導致部分網站或服務因不認得新域名而拒絕接受註冊郵箱。Apple 表示,新域名將於今年夏季稍晚正式推出,但並未說明此更新是否與 Murphy 所揭露的漏洞有直接關聯。整體而言,這起事件凸顯了隱私工具在設計與維護上的複雜性,也提醒使用者,即便是大型科技公司的安全功能仍可能存在風險。Apple 尚未提供明確的修補時程,而在此之前,用戶只能在便利性與隱私保護之間自行衡量。



