一个谁都不愿看到的数字:100%。这不是某项功能的用户满意度,而是苹果"隐藏邮件地址"功能中被确认可被利用的比例。安全研究员泰勒·墨菲在给404媒体的一份报告中透露,他发现的这个漏洞能让攻击者轻易追溯到匿名邮箱背后的真实地址,而在他们进行的有限志愿者测试中,所有隐藏邮件地址无一幸免。
更让人捏把汗的是时间线。墨菲早在2025年6月就把漏洞详情和复现步骤提交给了苹果,一个月后苹果回复说正在调查。今年3月,苹果声称"在最近一次系统变更中已解决该问题",但墨菲实测后发现漏洞依然存在。再次上报后,苹果在2026年5月的回复中承认仍在调查,并请求墨菲在调查完成前不要公开细节,当月晚些时候又说修复"预计在未来几周内推出"。
"我们一年多前就把问题和复现方法报给苹果了。不知道他们为什么还没修好,但我们觉得不能再等下去了,"墨菲这样解释他为什么选择现在公开。一个被确认的高危漏洞,从首次上报到现在已经过去超过一年,修复时间表依然是模糊的"未来几周"。
要理解这个漏洞的严重性,得先搞清楚"隐藏邮件地址"设计的初衷。这个功能的核心逻辑是给用户生成一个随机的匿名邮箱地址,用来替代真实邮箱进行注册或收发邮件,目的是防止两个常见风险:一是数据泄露时真实邮箱被大规模曝光,二是邮箱地址被关联到个人身份。可现在恰恰是这套保护机制本身出了问题,让匿名邮箱变成了指路牌。
墨菲指出了更可怕的一层连锁反应:"那些免费公开的人肉搜索网站,能轻易把一个邮箱和一堆个人信息关联起来。依赖隐藏邮件地址来保护安全的人,可能已经暴露了。我们还不清楚影响面到底有多大,但在小范围志愿者测试里,100%的隐藏地址都能被突破。"这个逻辑链很清晰:破解匿名邮箱拿到真实地址,再到人肉搜索网站反查,姓名、住址、电话号码可能就全出来了。
对于那些担心自己已经暴露的用户,目前能做的补救措施是用数据清除服务把个人信息从人肉搜索网站上擦掉,但这过程通常需要几天时间。问题在于,漏洞还在那儿,就算清掉了旧信息,新的匿名地址依然能被攻破。这就像修墙修到一半停下来了,你没法知道下次洪水什么时候来。
由于漏洞尚未得到正式修复,具体的攻击手段细节目前没有被披露。但从墨菲测试中100%的成功率来看,这不是一个需要特定条件才能触发的理论漏洞,而是可直接操作的实战级风险。苹果方面对修复时间的最新说法停留在"未来几周",而对于为什么一个漏洞能拖过两次系统更新周期、跨越整整一年多依然存在,苹果没有给出解释。
热门跟贴