Uma vulnerabilidade na ferramenta “Ocultar meu e-mail” da Apple pode expor o endereço real dos utilizadores. A falha foi revelada pelo 404 Media, que confirmou o problema em testes próprios com a ajuda de um investigador de segurança.
O caso é especialmente sensível porque esta funcionalidade existe precisamente para fazer o contrário: esconder o e-mail verdadeiro do utilizador quando este se regista em sites, serviços ou aplicações.
Falha expõe e-mail real do ID Apple
O “Ocultar meu e-mail” faz parte do iCloud+, a subscrição paga da Apple. A ferramenta permite criar endereços de e-mail aleatórios, geralmente terminados em @icloud.com, para usar em vez do e-mail pessoal.
A ideia é simples: o utilizador pode inscrever-se num serviço sem revelar o seu endereço real. Isto ajuda a reduzir spam, separar contas e evitar que o e-mail principal fique guardado em sites que possam sofrer ataques no futuro.
Mas, segundo o 404 Media, a vulnerabilidade permite ligar esses endereços anónimos ao e-mail real associado ao ID Apple.
Problema foi reportado há mais de um ano
A falha foi descoberta e comunicada à Apple por Tyler Murphy, cofundador da EasyOptOuts, em junho de 2025. A Apple reconheceu o problema no mês seguinte e disse que estava a investigar.
Em março de 2026, a empresa informou Murphy de que o problema tinha sido resolvido numa atualização. No entanto, ao testar novamente, o investigador percebeu que a falha continuava ativa e enviou mais informações à Apple.
Em maio de 2026, a Apple voltou a dizer que ainda estava a investigar o caso e pediu que a vulnerabilidade não fosse divulgada. A empresa também indicou que uma correção era esperada “nas próximas semanas”, mas isso ainda não aconteceu.
404 Media confirmou a falha
Para verificar o problema de forma independente, o 404 Media criou um novo endereço através do “Ocultar meu e-mail” e enviou esse endereço a Murphy.
Cerca de cinco minutos depois, o investigador conseguiu devolver o e-mail real associado à conta Apple, que deveria permanecer escondido.
O 404 Media não divulgou os detalhes técnicos da falha porque ela ainda pode ser explorada. Ou seja, publicar o método poderia facilitar ataques contra utilizadores.
Por que isto é grave
Nos testes limitados feitos por Murphy com voluntários, 100% dos endereços do “Ocultar meu e-mail” eram exploráveis.
O risco não está apenas em descobrir o e-mail real. Segundo o investigador, sites públicos de busca de pessoas podem ligar um endereço de e-mail a outros dados pessoais, como nome, localização e informações associadas.
Isto significa que pessoas que usam o recurso por motivos de privacidade ou segurança podem estar mais expostas do que imaginavam.
Funcionalidade continua útil, mas exige cuidado
O “Ocultar meu e-mail” continua a ser uma ferramenta útil para reduzir spam e evitar que o e-mail principal seja partilhado com vários serviços. O problema é que, neste momento, a reportagem indica que ele não deve ser tratado como uma proteção infalível.
Para quem usa a funcionalidade apenas para organizar contas ou evitar mensagens promocionais, o impacto pode ser menor. Mas para quem depende dela para esconder a identidade real, a situação é mais preocupante.
Até haver uma correção oficial e confirmada, o melhor é ter cuidado ao usar endereços criados pelo “Ocultar meu e-mail” em situações sensíveis.
Vê também: iOS 26.5.2 já chegou ao iPhone e há boas razões para atualizar
