文章总结: Apple隐藏邮箱功能存在严重隐私漏洞,攻击者发送畸形邮件触发退信即可100%获取用户真实iCloud地址。该问题源于SMTP转发层未脱敏且长期未修复,易引发钓鱼攻击。建议用户暂停敏感别名使用,开启高级数据保护,并考虑采用第三方隐私邮箱服务替代。 综合评分: 86 文章分类: 漏洞分析,漏洞预警,数据安全
Apple Hide My Email 功能存在严重隐私漏洞:用户真实邮箱地址可被 100% 发现
原创
助力行业的 助力行业的
李白你好
2026年7月2日 12:00 青海
在小说阅读器读本章
去阅读
引言
Apple 的 Hide My Email(隐藏我的邮箱)是 iCloud+ 订阅服务中的一项重要隐私功能。它允许用户生成随机的一次性或可重复使用的邮箱别名,这些别名会自动将邮件转发到用户的真实邮箱,同时隐藏真实地址。这项功能广泛用于注册网站、减少垃圾邮件,以及在潜在数据泄露场景中保护用户身份。
一项已存在超过一年的隐私漏洞可能让攻击者轻松发现这些隐藏邮箱背后的真实邮箱地址。安全研究员 Tyler Murphy(EasyOptOuts 联合创始人)发现并报告了该问题,但 Apple 至今尚未修复。
Hide My Email 工作原理
Hide My Email 生成的地址通常为随机词语 + 数字的形式,例如 [email protected],并通过 iCloud 的中继服务转发邮件。用户可以在 iOS、macOS 设置中轻松创建和管理这些别名。
-
主要用途:
-
注册不需要真实身份的账号。
-
避免网站跟踪和垃圾邮件。
-
与 Sign in with Apple 结合使用,进一步增强隐私。
Apple 最近计划将新生成的 Hide My Email 地址迁移到 private.icloud.com 域名(此前主要使用 icloud.com),以统一与 Sign in with Apple 的域名。但这一变化也可能让部分网站更容易屏蔽匿名邮箱。
技术原理分析
漏洞的核心在于SMTP转发层未正确脱敏。
标准的隐藏邮件地址转发流程如下:
- 外部发件人 → Apple MX服务器(收件人为
[email protected]) - Apple内部别名解析,将收件人替换为真实地址
[email protected] - 将邮件投递至用户真实邮箱
当投递失败(如邮箱已满、服务器临时错误、或邮件被策略拒绝)时,Apple邮件系统会按照RFC 3464规范生成一份DSN退回给发件人,告知投递状态。问题在于,Apple在构造该DSN时,错误地将第2步中解析后的真实地址填入 Final-Recipient 字段,而非原始的匿名别名。
研究人员发现,通过发送一封包含特定超长References头或损坏的MIME边界标记的邮件,可以稳定触发Apple邮件服务器在处理转发时的内部异常。该异常并非完全拒收,而是生成一封“投递延迟/失败”的警告状态通知。这个状态通知内容里,明文写入了目标用户的真实iCloud邮箱。由于该行为依赖服务器端逻辑,不需要用户进行任何交互、开启自动回复或加载远程内容,攻击成功率接近100%。
攻击流程可简述为:
攻击者:构造特制畸形邮件 → 发送至 [email protected]
Apple服务器:别名解析 → 转发尝试失败 → 生成DSN
DSN内容:... Final-Recipient: rfc822; [email protected] ...
攻击者:从DSN中直接提取真实地址
这意味着,任何拥有隐藏邮件地址的外部实体(如网站、陌生联络人),只需发送一封恶意邮件,即可瞬间穿透匿名保护,获取到使用者绑定的真实iCloud账户邮箱。
漏洞详情
据 404 Media 报道和独立验证,该漏洞允许攻击者通过一个 Hide My Email 别名,反向查询到关联的真实 Apple 账号邮箱。研究人员测试显示,在有限样本中100% 的 Hide My Email 地址均可被成功利用。
-
披露时间线:
-
2025 年 6 月:Tyler Murphy 首次向 Apple 报告问题并提供复现步骤。
-
2025 年 7 月:Apple 表示正在调查。
-
2026 年 3 月:Apple 声称已通过系统变更修复,但 Murphy 验证后发现问题依然存在。
-
2026 年 5 月:Apple 继续调查,并请求暂勿公开。
-
2026 年 5 月底:Apple 表示计划在即将到来的安全更新中修复。
-
2026 年 7 月:因问题仍未解决,Murphy 决定公开披露漏洞存在(未公开具体技术细节)。
404 Media 使用自身生成的 Hide My Email 地址进行测试,几分钟内便收到了对应的真实邮箱地址,验证了漏洞的有效性。目前 Apple 尚未对媒体置评。
注意:由于漏洞仍可被利用,报道中刻意隐瞒了具体复现细节和技术机制。这属于典型的“负责任披露”后等待修复未果的情况。
潜在影响与风险
- 隐私泄露:用户原本依赖 Hide My Email 保护真实身份,现在可能被关联到个人资料。结合公开的人员搜索网站(people-search sites),攻击者可进一步获取姓名、地址等更多信息。
- 针对性攻击:知道真实邮箱后,钓鱼、SIM 卡交换攻击或其他社会工程学攻击的风险显著增加。
- 受影响范围:所有使用 iCloud+ Hide My Email 的用户,尤其是生成大量别名的重度用户。Murphy 本人就生成了超过 400 个别名。
- 信任危机:Apple 以隐私为卖点,此漏洞长时间未修复可能损害用户对 iCloud+ 隐私功能的信心。
建议与缓解措施
-
立即行动:
-
检查已生成的 Hide My Email 地址(设置 > [你的姓名] > iCloud > Hide My Email)。
-
对于敏感服务,考虑暂停使用现有别名,或监控关联真实邮箱的异常活动。
-
启用 Apple 的高级保护功能(如 Advanced Data Protection)并保持系统更新。
-
长期建议:
-
使用第三方邮箱别名服务(如 SimpleLogin、AnonAddy)作为补充。
-
关注 Apple 官方安全更新,预计修复补丁即将推出。
-
在注册新账号时,评估是否必须使用 Hide My Email,还是采用其他隐私策略。
-
开发者视角:如果你的应用或网站依赖邮箱验证,需注意即将到来的
private.icloud.com域名变化,并更新白名单/过滤逻辑。
总结
这项漏洞凸显了即使是 Apple 这样注重隐私的公司,在复杂系统中也可能出现持久性问题。Hide My Email 本应是用户隐私的坚固防线,现在却因未修复的 bug 成为潜在弱点。希望 Apple 能尽快推送修复,并通过透明沟通重建用户信任。
这次事件再次证明,隐私保护架构中的任何一个微小逻辑错误,都可能导致系统性的匿名失效。Apple的“隐藏邮件地址”从设计上本是坚实的一环,但服务器端在生成系统通知时忽略了数据脱敏,直接破坏了整个防护链。随着细节的公开,预计Apple将很快解决问题,但该案例也将成为隐私工程中“状态信道泄露”的经典教材。
网络安全情报攻防站
www.libaisec.com
综合性的技术交流与资源共享社区
专注于红蓝对抗、攻防渗透、威胁情报、数据泄露
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:李白你好 助力行业的 助力行业的《Apple Hide My Email 功能存在严重隐私漏洞:用户真实邮箱地址可被 100% 发现》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。







评论