APPLE

Falha no Hide My Email da Apple expõe endereços reais

Investigador diz que qualquer pessoa pode descobrir o email por trás dos aliases iCloud. Vulnerabilidade foi reportada há mais de um ano e continua sem correção efetiva.

Falha no Hide My Email da Apple expõe endereços reais

O serviço Hide My Email da Apple, vendido como camada extra de privacidade para quem vive enterrado em formulários online, está com uma fuga séria: há uma forma de chegar ao endereço real que devia ficar escondido atrás dos aliases gerados pelo iCloud. O problema foi reportado à Apple em junho de 2025 e, mais de um ano depois, continua explorável.

A história foi detalhada pela publicação 404 Media, que optou por não divulgar os detalhes técnicos porque a vulnerabilidade ainda funciona. Testes feitos com voluntários pelo investigador que a descobriu mostraram uma taxa de sucesso de 100% a desmascarar endereços criados com Hide My Email. Ou seja, não estamos a falar de um caso raro ou de cenário de laboratório, mas de um problema estrutural no desenho do serviço.

O investigador chama-se Tyler Murphy, cofundador da EasyOptOuts, e fez o que se espera: reportou a falha de forma responsável, com passos claros para a reproduzir. A Apple respondeu que estava a investigar, mais tarde afirmou que tinha “resolvido o problema numa alteração recente de sistema”, e depois voltou atrás, admitindo que afinal ainda estava a analisar o caso. Em maio de 2026, voltou a pedir tempo e pediu também silêncio público, enquanto Murphy sugeria pelo menos suspender a criação de novos aliases Hide My Email até haver correção. Não há qualquer sinal de que essa sugestão tenha sido seguida.

Este episódio contrasta com o discurso de prioridade máxima que a Apple costuma usar quando fala de segurança. Há poucas semanas, a empresa acelerou correções de segurança no iOS com medo de ataques alimentados por IA. Aqui, perante uma falha que afeta diretamente um serviço pago associado ao iCloud+ e a um argumento central de marketing, a resposta parece arrastada e opaca. Pior: em março a Apple deu a entender ao investigador que tinha tudo tratado, quando afinal não tinha.

Para perceber o risco, convém lembrar o que faz o Hide My Email. O serviço cria endereços aleatórios sob controlo da Apple, que depois encaminham o correio para a tua caixa real, supostamente invisível para quem recebe o alias. A ideia é proteger-te de spam, fugas de dados e rastreamento, sobretudo em registos de sites e apps. Só que, como lembra Murphy, hoje existem bases de dados públicas de pesquisa de pessoas que ligam um email a nome, morada, telefone e mais meia dúzia de dados. Se o teu email “escondido” for trivial de descobrir, qualquer pessoa que dependa do Hide My Email por motivos de segurança física ou perseguição fica numa posição mais frágil do que julga.

Há ainda um contexto menos falado: recentemente a Apple migrou o Hide My Email para o domínio dedicatedo “private.icloud.com”, um passo que, na prática, torna mais simples a plataformas que queiram bloquear aliases iCloud identificarem e filtrarem estes endereços. Somado a uma vulnerabilidade que expõe o email real, o resultado é um serviço que hoje protege menos e complica mais. Enquanto a prometida atualização de segurança “nas próximas semanas” não chega, o conselho pragmático para quem usa Hide My Email em situações sensíveis é duro mas simples: evitar novos usos críticos, rever contas importantes criadas com aliases e, onde estiver em causa segurança pessoal, considerar endereços independentes fora do sistema da Apple. A confiança na privacidade não se constrói com slogans, constrói-se a fechar falhas destas depressa.

Fonte: MacRumors

Comentários · 0