Apple Hide My Email 疑似穿窿:真實電郵有機會俾人反查,iCloud+ 用戶先停一停
Tech News

Apple Hide My Email 疑似穿窿:真實電郵有機會俾人反查,iCloud+ 用戶先停一停

圖片:via iThome — https://www.ithome.com.tw/news/177147
TechLab 編輯部(譯)·

研究員話 Apple 兩度稱修好後仍可重現,技術細節暫時冇公開

件事有幾實

iThome 報道,EasyOptOuts 研究員 Tyler Murphy 指,Apple Hide My Email 產生嘅 alias 有漏洞,攻擊者有機會反查到背後真實電郵。Murphy 話佢 2025 年 6 月已向 Apple 通報;Apple 2026 年 3 月同 6 月兩次話問題修好,但佢重測仍然重現。404 Media 亦話用自己嘅 hidden email 驗證過,因為問題仍可用,細節冇公開。呢點要講清楚:暫時係研究員同媒體驗證嘅說法,Apple 未有對外發出同 Hide My Email 相關嘅公開修補說明。

Hide My Email 原本保護乜

Apple 對 Hide My Email 嘅定位好簡單:幫 iCloud+ 或 Sign in with Apple 用戶產生獨立、隨機嘅電郵地址,收到嘅 mail 會自動轉寄去你嘅個人 inbox,回覆都可以經同一個 alias 走;網站理論上只見到 alias,唔直接攞到主電郵。呢個設計本身好實用,特別係報 newsletter、試 app、開一次性帳戶,問題係好多用戶會將佢當成身份隔離工具。若果 alias 背後嘅地址可反查,風險就由垃圾郵件管理,升級做身份線索外洩。

邊類用戶要緊張

一般購物、newsletter 或普通 forum,用 alias 暴露真實電郵當然麻煩,但多數係多啲 spam 同追蹤。高風險係另一批人:用 Hide My Email 同真實身份保持距離,例如匿名報料、社群分身、求職查詢、醫療或財務服務、同埋任何唔想對方知道主電郵嘅溝通。真實電郵好多時連住姓名、舊帳戶、社交平台、資料經紀庫,攻擊者一拎到呢粒線頭,就有機會串返你其他網上身份。

Apple 有冇公開修補

截至 2026 年 7 月 7 日,Apple security releases 最新列出 iOS/iPadOS 26.5.2、macOS Tahoe 26.5.2 同 Safari 26.5.2,公開安全內容入面未見 Hide My Email 或 iCloud relay 嘅 CVE/修補條目。Apple 安全頁亦寫明,通常要等調查同修補可用先會確認安全問題,所以官方沉默本身唔等同冇事,亦唔等同研究員講法完全成立。穩陣睇法係:未有公開修補同可驗證更新前,唔好將 Hide My Email 當成高敏感用途嘅唯一保護。

private.icloud.com 背景

另一個背景都值得睇。Apple Developer 6 月 15 日話,今年夏天新產生嘅 Sign in with Apple 同 iCloud+ Hide My Email 地址會統一用 private.icloud.com;舊有 privaterelay.appleid.com 同 icloud.com alias 會照樣轉寄。呢個域名改動似係管理同相容性安排,Apple 要開發者同 email service provider 更新 allowlist 同 filtering;佢唔係今次漏洞嘅修補公告。對用戶嚟講,alias 域名變得更易識別,網站攔截 disposable/relay email 嘅誘因反而可能高咗。

而家可以點做

用戶而家唔使即刻恐慌,但值得花少少時間檢查一次自己啲 alias。喺 iPhone/iPad 可以入 Settings > [你個名] > iCloud > Hide My Email,Mac 就去 System Settings > [你個名] > iCloud;睇清楚每個 alias 綁住邊個服務,冇再用嘅就停用。已經用喺高敏感帳戶嘅,考慮轉去一個冇真名、冇公開社交連結嘅獨立電郵,或者等 Apple 有公開修補後再決定點處理。新開高敏感服務時,先唔好單靠 Hide My Email 做身份隔離。

暫時點處理

Hide My Email 本身仍然有用,特別係擋 marketing list 同減少主電郵曝光;但 Apple 一直將私隱當品牌核心,呢類 server-side 私隱功能出事,傷害大過普通 app bug。原因好簡單:用戶冇辦法自己驗證遮掩有冇生效,只能信平台。今次下一步睇兩樣嘢:Apple 會唔會出公開安全說明,同佢會唔會通知已建立 alias 嘅用戶點做。未見到呢兩步前,Hide My Email 可以繼續用喺低風險註冊,高風險身份隔離就先保守啲。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook