蘋果 iCloud+「隱藏我的電子郵件」爆嚴重漏洞:真實電郵面臨全面外洩危機與自保分析
外國傳媒 404 Media 證實,Apple iCloud+ 嘅「隱藏我的電子郵件」功能存在嚴重安全漏洞,攻擊者能夠輕易搵出用家隱藏背後嘅真實電郵地址。安全研究員早在2025年6月已經向 Apple 通報,但經過一年時間仍未完全修復。測試顯示漏洞成功率高達 100%。今次事件不僅削弱咗功能嘅防護原意,更可能令用家面臨被起底網站追蹤嘅風險。本文將詳細分析事件始末,並比較市面上其他替代方案。
Apple Hide My Email 失去保護作用?安全研究員揭發零日漏洞,附替代方案比較
喺重視數碼私隱嘅年代,好多香港用家都會依賴 Apple iCloud+ 提供嘅「隱藏我的電子郵件」(Hide My Email)功能,用來註冊各類網上服務,避免真實電郵地址外流。不過,根據外國科技傳媒報道,呢個原本用來保護私隱嘅防線,目前正處於失效邊緣。
有網絡安全研究員發現咗一個嚴重漏洞,任何人只要掌握特定技術細節,就可以輕易查出「隱藏電郵」背後綁定嘅真實 Apple 帳戶電郵地址。最令人擔憂嘅係,呢個漏洞早喺一年多前已經向 Apple 官方通報,但至今仍然未得到徹底解決。基於公眾利益同埋用家有知情權,研究團隊決定將事件曝光,提醒所有依賴呢項服務嘅用家提高警覺。
漏洞被發現至公開嘅完整時間線
今次私隱危機並唔係突發事件,而係經歷咗長達一年嘅拉鋸戰。根據 EasyOptOuts 聯合創辦人 Tyler Murphy 向傳媒提供嘅通訊紀錄,成個過程可以分為以下幾個關鍵階段:
2025年6月:安全研究員首次發現並通報
Tyler Murphy 喺2025年6月首次發現呢個漏洞,並且整理咗詳細嘅複製步驟,以負責任嘅方式向 Apple 安全團隊作出通報。當時 Apple 喺一個月之後回覆,表示已經收到報告並正在展開調查。
2026年3月:Apple 錯誤宣稱已經修復
經過大半年嘅等待,Apple 喺2026年3月向 Murphy 表示,已經透過「最近嘅系統更新」解決咗上述問題。不過,當 Murphy 再次進行測試嗰陣,發現漏洞根本無被堵塞,真實電郵地址依然會被洩露。佢隨即向 Apple 提供進一步嘅技術資訊,Apple 亦只好承認問題仍然存在,並表示會繼續調查。
2026年5月:Apple 要求延遲公開
去到5月,Apple 安全團隊向 Murphy 發出要求,希望佢喺調查完成之前唔好公開呢個漏洞,以免將客戶置於風險之中。當時 Murphy 提出一個折衷方案,建議 Apple 喺修復問題之前,暫停讓用家建立新嘅「隱藏我的電子郵件」地址,從而限制受影響嘅人數,但 Apple 似乎無採納呢個建議。去到5月底,Apple 承諾會喺「未來幾個星期內」嘅安全更新中解決問題。
2026年7月:研究團隊決定全面公開事件
由於距離承諾嘅修復時間已經過咗超過一個月,漏洞依然處於可被利用嘅狀態,Murphy 決定聯同 404 Media 公開事件。404 Media 利用自己嘅隱藏電郵地址進行實測,證實漏洞仍然有效。Murphy 強調,雖然團隊無公開具體嘅技術細節,但用家絕對有權知道佢哋嘅隱藏電郵其實隨時會被攻擊者睇穿。
漏洞帶來嘅實際影響與私隱危機
呢個漏洞之所以被評為「嚴重」,係因為佢直接打破咗「隱藏我的電子郵件」嘅核心價值,並且帶來以下幾個層面嘅風險:
100% 成功破解機率
根據 Murphy 聯同志願者進行嘅有限度測試,漏洞嘅利用成功率高達 100%。只要攻擊者針對某一個由系統生成嘅 @icloud.com 隱藏地址發動攻擊,就可以毫無例外咁追蹤返用家嘅真實電郵地址。由於 404 Media 已經親自驗證咗呢個講法,意味住目前市場上數以百萬計嘅隱藏地址都處於裸奔狀態。
結合起底網站嘅潛在風險
可能好多人會覺得,單單洩漏一個真實電郵地址無咩大不了。但喺現今嘅數據生態入面,電郵地址往往係串連個人身份嘅重要鎖匙。Murphy 指出,現時網上有大量免費、公開嘅人物搜尋數據庫(People-search sites)同埋數據經紀商(Data Brokers)。攻擊者只要攞到你嘅真實電郵,就可以透過呢啲公開數據庫,輕易將電郵地址同你嘅真實姓名、電話號碼、甚至住址連結起來。對於一啲依賴隱藏電郵來保障人身安全、或者用作匿名舉報嘅用家來講,呢個漏洞帶來嘅後果可以非常嚴重。
甚麼是「隱藏我的電子郵件」?功能原意與機制
為咗令大家更清楚今次事件嘅嚴重性,我哋需要先了解一下「隱藏我的電子郵件」嘅原本設計同埋最新嘅政策變動。
運作原理與 iCloud+ 訂閱服務
「隱藏我的電子郵件」係 Apple 針對付費 iCloud+ 訂閱用家推出嘅一項私隱防護功能。當用家喺網上註冊新帳戶,或者訂閱電子報嗰陣,系統會隨機生成一個由兩個英文字母加數字組成、並且以 @icloud.com 結尾嘅專屬電郵地址(例如:[email protected])。所有寄去呢個隱藏地址嘅郵件,都會自動轉發到用家嘅真實個人信箱。
呢個機制嘅最大好處,係用家永遠唔需要向第三方網站交出真實電郵。一旦遇到垃圾郵件轟炸,或者該網站發生資料外洩(Data Breach),用家只需要喺設定入面將嗰個特定嘅隱藏地址停用或者刪除,就可以立刻切斷騷擾,而且完全唔會影響真實信箱嘅運作。
從 @icloud.com 到 @private.icloud.com 嘅政策轉變
值得留意嘅係,除咗今次爆出嘅漏洞之外,Apple 近期亦對呢項服務嘅基礎架構作出咗調整。根據科技媒體報道,Apple 計劃將新生成嘅隱藏電郵地址後綴,由原本嘅 @icloud.com 更改為專用嘅 @private.icloud.com 域名。
雖然 Apple 呢個舉動可能係為咗更好咁管理內部系統架構,但客觀效果上,卻令到呢項私隱功能嘅實用性大打折扣。因為當所有隱藏地址都使用一個標籤性極強嘅專用域名時,各大小網站、論壇或者網上服務供應商,就可以非常輕易咁喺系統後台設定規則,直接封鎖所有來自 @private.icloud.com 嘅註冊要求。唔少用家已經反映,部份企業為咗防止用家開分身帳戶或者領取迎新優惠,已經開始拒絕呢類電郵地址。
蘋果用家自保實用指南與替代方案比較
喺 Apple 徹底修復呢個漏洞之前,重視私隱嘅香港用家應唔應該繼續使用呢項服務?我哋為讀者整理咗以下嘅自保建議同埋市場上主流嘅替代方案比較。
替代方案比較:其他隱私電郵服務
如果你暫時對 Apple 嘅修復進度失去信心,或者希望尋找跨平台嘅解決方案,市場上其實有幾款運作機制相似,而且專注於網絡安全嘅替代服務:
1. DuckDuckGo Email Protection(免費且注重反追蹤)
DuckDuckGo 推出嘅電郵保護服務係目前最受歡迎嘅免費選項之一。用家可以註冊一個 @duck.com 嘅電郵地址,佢嘅最大賣點唔單止係隱藏真實身分,更重要係佢內置咗強大嘅「反追蹤」過濾功能。當郵件經過 DuckDuckGo 嘅伺服器轉發去你嘅真實信箱之前,系統會自動拆除郵件入面隱藏嘅各類廣告追蹤器(Trackers),令到發件人無法知道你喺咩時間、用咩裝置打開過封電郵。呢個服務完全免費,適合一般日常註冊使用。
2. SimpleLogin by Proton(開源且功能強大)
SimpleLogin 係一間被知名私隱電郵供應商 Proton 收購咗嘅開源企業。比起 Apple 嘅服務,SimpleLogin 提供更高嘅自訂彈性。用家可以喺系統內管理過百個不同嘅隱藏地址,甚至可以綁定自己購買嘅專屬域名(Custom Domains)。由於佢係開源軟件,加上背後有 Proton 嘅加密技術支持(支援 PGP 加密轉發),喺安全性同透明度上比起封閉生態嘅 Apple 系統更加有保證。SimpleLogin 提供基本嘅免費版本,如果需要無限生成地址同埋進階功能,就需要付費訂閱。
3. Firefox Relay(由 Mozilla 基金會支援)
由開發 Firefox 瀏覽器嘅 Mozilla 基金會推出嘅 Relay 服務,同樣提供隱藏電郵地址生成功能(後綴為 @mozmail.com)。免費版本容許用家生成最多 5 個隱藏地址,而付費版本則可以無限生成,並且會附送隱藏電話號碼嘅額外功能(視乎地區而定)。Firefox Relay 嘅介面乾淨俐落,非常適合只係需要少量隱藏地址來應付日常網購嘅用家。
帳號安全管理建議
如果你決定繼續使用 Apple 嘅生態系統,喺官方發布修復更新之前,我哋建議採取以下嘅風險管理措施:
第一,避免將「隱藏我的電子郵件」用於極度敏感嘅用途。如果某個網上服務牽涉到你嘅核心財務資料、匿名爆料、或者如果身分曝光會帶來嚴重後果嘅情況下,現階段絕對唔建議依賴 Apple 呢項功能來隱藏身分。
第二,重新審視現有嘅高風險連結。對於過去已經使用咗隱藏電郵註冊嘅重要帳戶(例如銀行、加密貨幣交易所、或者工作相關嘅第三方平台),用家可以考慮登入呢啲平台,將聯絡電郵更改為一個全新、專門用來處理該類事務嘅獨立真實電郵地址(例如開設一個全新嘅 ProtonMail 專屬信箱),從而避開 iCloud 漏洞帶來嘅牽連風險。
第三,密切留意系統更新。既然 Apple 已經喺5月底表示會喺「未來幾個星期內」推出安全更新,用家應該定期檢查自己嘅 iPhone、iPad 同埋 Mac 電腦,一旦收到包含安全修復嘅 iOS 或 macOS 更新通知,務必要第一時間進行系統升級。
總結
Apple 一直以來都將「私隱」作為其品牌嘅核心賣點,而 iCloud+ 嘅「隱藏我的電子郵件」更加係重點宣傳嘅防護工具之一。不過,今次長達一年嘅漏洞處理過程,難免令到一向信任蘋果生態系統嘅用家感到失望。一個標榜能夠隱藏身份嘅系統,如果連最基本嘅電郵隔離都做唔到,無疑係形同虛設。
網絡安全從來都唔係一個靜態嘅狀態,而係一場持續嘅攻防戰。今次事件再次提醒我哋,無論科技巨頭嘅宣傳幾咁吸引,用家都唔應該將所有個人私隱嘅保護責任,全部押注喺單一一個系統或者單一一家公司身上。了解唔同工具嘅局限性,分散風險,並且適時運用其他替代方案,先至係喺現代數碼世界中保護自己最務實嘅做法。我哋將會繼續密切留意 Apple 官方對今次漏洞嘅後續修復進度,並為大家帶來最新資訊。