A funcionalidade é uma das mais usadas pelos subscritores do iCloud+ da Apple. Ao criares um endereço de e-mail aleatório terminado em @icloud.com, supostamente podes inscrever-te em serviços, receber newsletters e criar contas sem nunca expores o teu endereço real.
É essa promessa de anonimato que a torna apelativa, sobretudo para quem quer proteger a sua identidade online. O problema é que essa promessa pode não estar a ser cumprida.
A falha que a Apple ignorou durante um ano
Tyler Murphy, cofundador da empresa EasyOptOuts, descobriu uma vulnerabilidade que permite ligar um endereço criado pelo "Ocultar o Meu Email" ao endereço real do utilizador. Segundo o relato verificado pelo 404 Media, o processo de engenharia reversa conseguiu revelar o e-mail real associado à conta Apple em menos de cinco minutos, com uma taxa de sucesso de 100% nos testes realizados.
Murphy comunicou formalmente a falha à Apple em junho de 2025. A empresa acusou a receção e disse estar a investigar. Em março deste ano, informou o investigador que o problema tinha sido corrigido numa atualização silenciosa. Uma verificação independente comprovou que a vulnerabilidade continuava a funcionar.
Em maio, a Apple pediu a Murphy que não divulgasse a falha enquanto continuava a investigar. Cansado das demoras, Murphy decidiu tornar o caso público.
O que está em risco
Para quem usa o "Ocultar o Meu Email" apenas para evitar spam ou separar contas, o impacto é limitado. Para quem depende da funcionalidade para proteger a sua identidade, a situação é mais preocupante: qualquer pessoa com conhecimento técnico suficiente pode potencialmente reverter o processo e descobrir quem está por trás de um alias.
A metodologia exata do ataque não foi divulgada publicamente para evitar que seja explorada em larga escala, mas a confirmação de que existe e que a Apple demorou mais de um ano a corrigi-la coloca em causa a credibilidade de uma funcionalidade que é parte central da proposta de privacidade do iCloud+.
Não é a primeira vez que o ecossistema Apple é posto à prova nesta frente. O iCloud já foi explorado como vetor de phishing através de convites falsos, precisamente por a plataforma ser associada a um nível de confiança elevado que os atacantes aproveitam.
O que deves fazer
A Apple não confirmou publicamente se a falha está agora efetivamente corrigida. Até haver uma declaração oficial que o confirme, a recomendação é clara: não trates o "Ocultar o Meu Email" como uma proteção infalível de identidade. Em situações sensíveis, onde o anonimato é mesmo necessário, considera alternativas como o Sign in with Apple ou gestores de e-mail com aliases dedicados.
A privacidade da Apple continua a ser, em muitos aspetos, superior à da concorrência. Mas este caso mostra que nenhum sistema é infalível, e que demorar mais de um ano a resolver uma falha reportada é tempo a mais para quem confiou na promessa de anonimato.
