Apple od lat przekonuje świat, że bezpieczeństwo naszych danych stanowi absolutny fundament filozofii firmy. Okazuje się jednak, że płatna funkcja „Ukryj mój adres e-mail” (Hide My Email), dostępna w ramach subskrypcji iCloud+, zawiera poważną lukę bezpieczeństwa. Zamiast generować anonimowe maski chroniące nas przed spamem i inwigilacją, system pozwala na powiązanie tymczasowego aliasu z prawdziwym identyfikatorem Apple ID. Co gorsza, technologiczny gigant ignoruje ten problem od ponad roku.
Stuprocentowa skuteczność i pięć minut roboty. Jak pęka ochrona Apple?
Na trop usterki wpadł Tyler Murphy, współtwórca serwisu EasyOptOuts, który powiadomił Apple o zagrożeniu już w czerwcu 2025 roku. Gdy po wielu miesiącach obietnic firma z Cupertino wciąż zwlekała z wdrożeniem skutecznej poprawki, badacz zdecydował się nagłośnić sprawę w mediach. Redakcja portalu 404 Media przeprowadziła niezależny test. Wygenerowała nowy, losowy adres i przekazała go ekspertowi. Murphy potrzebował zaledwie pięciu minut, aby odesłać dziennikarzom ich prawdziwy, ukryty adres e-mail.
W kolejnych testach luka wykazała stuprocentową skuteczność. Przestępcy mogą z łatwością zdemaskować każdego użytkownika usługi. Szczegóły techniczne exploita pozostają tajemnicą, aby zapobiec masowym atakom. Konsekwencje są jednak poważne. Powiązanie rzekomo bezpiecznego aliasu z prawdziwą skrzynką pocztową otwiera drogę do zaawansowanych oszustw. Korzystając z publicznych wyszukiwarek osób i baz brokerów danych, cyberprzestępcy potrafią na podstawie adresu e-mail błyskawicznie ustalić nazwisko, lokalizację czy numer telefonu ofiary.

Funkcja „Ukryj mój adres e-mail” z błędem, o którym firma milczała rok
Postawa Apple w tej sprawie budzi spore kontrowersje. Koncern najpierw badał sprawę, następnie w marcu 2026 roku ogłosił wdrożenie poprawki (która, jak udowodnił Murphy, w ogóle nie zadziałała), a w maju prosił o zachowanie tajemnicy, obiecując rozwiązanie „w nadchodzących tygodniach”. Do dziś użytkownicy nie otrzymali jednak skutecznej łatki.
To nie pierwszy raz, kiedy marketingowe obietnice Apple o prywatności mijają się z rzeczywistością. W przeszłości niezależni badacze obnażyli już bezużyteczność funkcji maskowania adresów MAC w sieciach Wi-Fi. Udowodnili też, że iPhone’y wysyłają dane analityczne nawet po całkowitym wyłączeniu tej opcji w ustawieniach.
Jakby tego było mało, Apple przygotowuje wizerunkowy strzał w stopę. Firma zmienia domeny generowanych aliasów. Zamiast neutralnego @icloud.com, użytkownicy zaczną otrzymywać adresy z końcówkami @private.icloud.com lub @privaterelay.appleid.com. Taki krok drastycznie obniży użyteczność całego narzędzia. Administratorzy stron internetowych oraz sklepów bez problemu rozpoznają i automatycznie zablokują takie adresy, zmuszając internautów do podania prawdziwych, prywatnych danych.
Dopóki Apple nie naprawi błędu, najbezpieczniejszym rozwiązaniem wydaje się całkowite rezygnacja z korzystania z systemowej funkcji „Ukryj mój adres e-mail”.
Źródło tekstu: Digital Trends, TechCrunch / Zdjęcie otwierające: Unsplash (@rmrdnl)