Una falla in Hide My Email di Apple espone il vero indirizzo email degli utenti
La funzione Hide My Email di Apple doveva essere uno scudo per proteggere la privacy degli utenti, ma una vulnerabilità scoperta di recente dimostra che quello scudo ha un buco piuttosto imbarazzante. E la cosa peggiore? Il problema è noto da oltre un anno, eppure non è stato ancora corretto.
Per chi non la conoscesse, Hide My Email è una funzionalità integrata nei dispositivi Apple che permette di generare indirizzi email casuali e temporanei. L’idea è semplice e, sulla carta, geniale: invece di dare il proprio indirizzo reale a un servizio online, a un’app o a un sito qualsiasi, si usa un alias che inoltra i messaggi alla casella vera senza mai rivelarla. Un modo elegante per tenere a bada lo spam e le campagne di marketing aggressive che intasano le caselle di posta di chiunque.
Come funziona la falla e perché è preoccupante
Secondo quanto riportato da 404Media, un ricercatore di sicurezza ha individuato un metodo che consente a un potenziale attaccante di risalire all’indirizzo email reale di un utente che utilizza Hide My Email. In pratica, la protezione che milioni di persone danno per scontata può essere aggirata. Non si tratta di un attacco sofisticatissimo riservato a gruppi hacker di élite, ma di qualcosa che mina alla base la promessa di privacy su cui la funzionalità è costruita.
La cosa che lascia perplessi è la tempistica. Questa vulnerabilità sarebbe stata segnalata ad Apple da oltre dodici mesi, un lasso di tempo che nel mondo della sicurezza informatica è enorme. Normalmente, le aziende tech di questa portata hanno processi consolidati per gestire le segnalazioni e rilasciare patch correttive in tempi ragionevoli. Eppure, ad oggi, Hide My Email continua a funzionare con questa falla aperta.
Protezione utile, ma non infallibile
Bisogna essere onesti: Hide My Email resta comunque uno strumento utile nella vita quotidiana. Blocca efficacemente lo spammer medio e impedisce a piccole aziende troppo zelanti di bombardare la casella di posta con newsletter non richieste. Per l’utente comune che vuole semplicemente evitare di essere sommerso da email promozionali, fa ancora il suo lavoro.
Il problema sorge quando si alza l’asticella. Se qualcuno con intenzioni meno innocue decide di scoprire chi si nasconde dietro un alias generato dalla funzionalità Apple, a quanto pare può riuscirci. E questo cambia parecchio le carte in tavola, soprattutto per chi si affida a questo strumento per ragioni di sicurezza personale più serie del semplice filtraggio dello spam.
Resta da capire quando Apple deciderà di intervenire. Il silenzio prolungato su una questione del genere non è esattamente rassicurante per chi ha sempre considerato l’ecosistema della mela morsicata come sinonimo di attenzione maniacale alla sicurezza degli utenti. Nel frattempo, vale la pena ricordare che nessuno strumento di privacy è perfetto e che affidarsi a un’unica soluzione non è mai la strategia migliore.


