Table of Contents
Hide My Email di Apple: una falla potrebbe far emergere l’indirizzo email reale
Nelle ultime ore ha iniziato a circolare un’ipotesi piuttosto delicata: una vulnerabilità in Hide My Email, la funzione di Apple inclusa in iCloud+ che serve a nascondere l’indirizzo email vero dietro alias casuali, potrebbe essere stata sfruttata per risalire proprio all’email reale associata a quegli alias.
Le ricostruzioni apparse online, riprese anche dal ricercatore di sicurezza Tyler Murphy, sostengono che questa falla permetta a un attaccante di individuare l’indirizzo effettivo collegato a un alias generato da Apple.
Apple, per ora, non ha rilasciato commenti pubblici sulla vicenda.
Murphy afferma però di aver segnalato il problema ad Apple già nel giugno 2025. E dice anche che, a più di un anno di distanza, il bug non sarebbe ancora stato corretto, pur essendo stato apparentemente riconosciuto dall’azienda e poi indicato come risolto.
Bug di Hide My Email su iCloud+: cosa sappiamo
Hide My Email è una funzione inclusa in iCloud+ che genera indirizzi casuali da usare al posto della tua casella principale. Il meccanismo è semplice: ridurre spam, tracciamento e raccolta di dati da parte di siti, app e newsletter, lasciando comunque all’utente il controllo, visto che i messaggi vengono inoltrati alla sua email reale.
In teoria, è un compromesso minimo per ottenere un po’ più di privacy. Il problema segnalato da Tyler Murphy mette però in dubbio proprio questo punto. Se un sito, o anche un malintenzionato, riuscisse a risalire all’indirizzo vero nascosto dietro un alias, salterebbe il vantaggio più importante del servizio: tenere separata la tua identità digitale dagli account creati online.
Per il momento i dettagli tecnici dell’exploit non sono stati diffusi. Murphy ha spiegato che la scelta è voluta, per evitare abusi su larga scala finché la falla resterà senza patch.
Perché il rischio è serio per gli utenti
L’impatto potenziale non è affatto secondario. Secondo dati del 2023 citati da Tyler Murphy, circa il 55% degli utenti di Mail su iOS aveva attivato Hide My Email. Questo basta a far capire quanto la funzione sia già presente nell’ecosistema Apple.
Per chi la usa, il rischio non si ferma a qualche messaggio indesiderato in più. Se viene esposto un indirizzo che credevi nascosto, diventano più facili lo spam mirato, la profilazione e i collegamenti tra servizi diversi. Tyler Murphy ha aggiunto che i siti pubblici usati per cercare informazioni sulle persone possono collegare un’email ad altri dati personali, aumentando i rischi per categorie più esposte, come giornalisti, attivisti o persone che cercano di tenere separati lavoro e vita privata.
Quindi no, non è solo una seccatura.
In certi casi può trasformarsi in un problema concreto di sicurezza personale.
Nuovi alias, domini dedicati e limiti dell’anonimato
Nel frattempo, sempre secondo quanto riportato da Tyler Murphy, Apple starebbe spostando i nuovi alias di Hide My Email dal dominio standard “@icloud.com” a quello dedicato “@private.icloud.com”. Sulla carta, il cambiamento rende più esplicita la funzione di questi indirizzi. I critici, però, fanno notare anche l’altro lato della questione: alias più riconoscibili per i siti potrebbero diventare anche alias più facili da bloccare o da trattare in modo diverso.
C’è poi un limite che spesso viene capito male: Hide My Email protegge la privacy nei confronti di siti e mittenti, ma non garantisce anonimato assoluto. In altri casi, riportati pubblicamente e richiamati da Tyler Murphy, Apple ha fornito informazioni relative agli utenti in risposta a richieste legali arrivate dalle autorità.
Finché questa vulnerabilità non verrà corretta, Hide My Email resta comunque uno strumento utile per ridurre l’esposizione. Non è, però, una barriera infallibile. E per una funzione che si regge tutta sulla fiducia, aspettare più di un anno per una patch resta un segnale difficile da far finta di non vedere: quanto è accettabile che una promessa di privacy così centrale rimanga esposta così a lungo?
Segui Laura su Twitter @LauraCeridono.