Služba Skrýt můj email, která je součástí předplatného iCloud+, podle nové zprávy obsahuje závažnou bezpečnostní chybu. Ta může útočníkům umožnit zjistit skutečnou e-mailovou adresu skrytou za náhodně vygenerovaným aliasem.



Problém měl být Applu nahlášen už před více než rokem, přesto zatím nebyl opraven. Server 404 Media zveřejnil informace o zranitelnosti, avšak z bezpečnostních důvodů nezveřejnil její technické detaily. Redakce uvedla, že se jí podařilo chybu nezávisle ověřit na vlastní adrese služby Skrýt můj email. Na problém upozornil Tyler Murphy, spoluzakladatel společnosti EasyOptOuts, který zranitelnost objevil v červnu 2025 a zodpovědně ji nahlásil Applu společně s podrobným postupem reprodukce. Podle Murphyho byly při testování všechny zkoumané aliasy služby Skrýt můj email zranitelné.

Apple v červenci 2025 potvrdil přijetí hlášení a uvedl, že problém prověřuje. V březnu 2026 společnost oznámila, že byla chyba odstraněna v rámci systémových změn, Murphy však následně ověřil, že zranitelnost stále existuje. Apple poté několikrát zopakoval, že případ nadále vyšetřuje, a požádal výzkumníka, aby podrobnosti nezveřejňoval, dokud nebude vydána oprava. Koncem května firma uvedla, že řešení očekává v některé z nadcházejících bezpečnostních aktualizací.

Proč je problém závažný

Funkce Skrýt můj email umožňuje vytvářet náhodné e-mailové adresy, které přeposílají zprávy do skutečné schránky uživatele. Cílem je chránit soukromou adresu při registracích do služeb, internetových obchodů nebo při komunikaci s třetími stranami. Pokud je však možné skutečnou adresu zjistit, ztrácí tato ochrana význam. Murphy upozorňuje, že existuje řada veřejně dostupných databází, které dokážou propojit e-mailovou adresu s dalšími osobními údaji, jako jsou jméno, adresa nebo telefonní číslo. To může představovat zvýšené riziko zejména pro uživatele, kteří tuto funkci využívají z důvodu ochrany soukromí nebo osobní bezpečnosti.