Una falla in Hide My Email di Apple espone l’indirizzo reale degli utenti
La funzione Hide My Email di Apple, pensata per proteggere la privacy generando indirizzi email anonimi, potrebbe non essere così sicura come promesso. Un rapporto pubblicato da 404 Media ha portato alla luce una vulnerabilità che consente di risalire all’indirizzo email reale nascosto dietro quello creato dal sistema. E la cosa più preoccupante? Apple ne è a conoscenza da oltre un anno, ma non ha ancora risolto il problema.
La scoperta è stata fatta dal ricercatore Tyler Murphy, che ha segnalato la falla ad Apple già nel corso del 2024. 404 Media ha condotto test indipendenti confermando che l’indirizzo email autentico può effettivamente essere scoperto attraverso questa vulnerabilità. I dettagli tecnici su come funzioni l’exploit non sono stati resi pubblici, seguendo la prassi della comunità di sicurezza informatica, che prevede di non divulgare le specifiche finché il problema non viene risolto.
Il punto è che Murphy ha aspettato pazientemente. Un mese dopo la sua segnalazione iniziale, Apple gli comunicò che un aggiornamento aveva corretto il difetto. Peccato che Murphy sia riuscito a sfruttare nuovamente la stessa vulnerabilità anche dopo la presunta patch, fornendo ad Apple ulteriori dettagli. A maggio dello scorso anno, la risposta di Cupertino era ancora la stessa: stiamo investigando. Dopo un anno di silenzio sostanziale, Murphy ha deciso di rendere pubblica la questione per spingere Apple ad agire.
Cosa significa per chi usa Hide My Email ogni giorno
Per chi non la conoscesse, Hide My Email è una funzionalità inclusa in iCloud+ che permette di generare indirizzi email casuali da usare nelle registrazioni online. Le email ricevute vengono inoltrate all’account iCloud principale, ma il mittente non dovrebbe mai poter risalire all’identità reale dell’utente. Almeno in teoria. Come spiega la stessa documentazione Apple: solo l’app o il sito web per cui è stato creato l’indirizzo unico dovrebbe poterlo utilizzare per comunicare.
Ora, sapere che questa protezione potrebbe essere aggirata cambia le carte in tavola. Chi utilizza Hide My Email per proteggere la propria privacy online dovrebbe essere consapevole che la copertura potrebbe non essere completa. Questo non vuol dire smettere di usarla del tutto, ma vale la pena valutare alternative temporanee. Creare un account email separato su servizi gratuiti come Gmail o Yahoo, da dedicare esclusivamente a registrazioni non critiche, potrebbe essere una soluzione pratica nell’attesa che Apple intervenga concretamente.
Cambiamenti in arrivo, ma bastano?
Un dettaglio interessante riguarda una modifica recente annunciata da Apple per Hide My Email. Gli indirizzi generati useranno il dominio @private.icloud.com al posto del classico @icloud.com. Il cambio potrebbe sembrare cosmetico, ma ha implicazioni concrete: alcuni servizi potrebbero iniziare a filtrare e rifiutare gli indirizzi con il nuovo dominio, riconoscendoli come email temporanee. Apple ha dichiarato che questa novità arriverà nel corso dell’estate 2025.
Resta da capire se questo aggiornamento affronterà anche la vulnerabilità segnalata da Murphy o se si tratta di una questione del tutto separata. Nel frattempo, il messaggio è chiaro: nessuno strumento di privacy è perfetto, e fidarsi ciecamente di qualsiasi sistema senza restare informati è sempre un rischio.


