Hide My Email di Apple: emerge un bug che può rivelare l’indirizzo reale

Hide My Email di Apple: una falla potrebbe far emergere l’indirizzo email reale

Nelle ultime ore ha iniziato a circolare un’ipotesi piuttosto delicata: una vulnerabilità in Hide My Email, la funzione di Apple inclusa in iCloud+ che serve a nascondere l’indirizzo email vero dietro alias casuali, potrebbe essere stata sfruttata per risalire proprio all’email reale associata a quegli alias.

Le ricostruzioni apparse online, riprese anche dal ricercatore di sicurezza Tyler Murphy, sostengono che questa falla permetta a un attaccante di individuare l’indirizzo effettivo collegato a un alias generato da Apple.

Apple, per ora, non ha rilasciato commenti pubblici sulla vicenda.

Murphy afferma però di aver segnalato il problema ad Apple già nel giugno 2025. E dice anche che, a più di un anno di distanza, il bug non sarebbe ancora stato corretto, pur essendo stato apparentemente riconosciuto dall’azienda e poi indicato come risolto.

Bug di Hide My Email su iCloud+: cosa sappiamo

Mail Scarica
iCloud+ Scarica
Hide My Email Scarica

Hide My Email è una funzione inclusa in iCloud+ che genera indirizzi casuali da usare al posto della tua casella principale. Il meccanismo è semplice: ridurre spam, tracciamento e raccolta di dati da parte di siti, app e newsletter, lasciando comunque all’utente il controllo, visto che i messaggi vengono inoltrati alla sua email reale.

In teoria, è un compromesso minimo per ottenere un po’ più di privacy. Il problema segnalato da Tyler Murphy mette però in dubbio proprio questo punto. Se un sito, o anche un malintenzionato, riuscisse a risalire all’indirizzo vero nascosto dietro un alias, salterebbe il vantaggio più importante del servizio: tenere separata la tua identità digitale dagli account creati online.

Per il momento i dettagli tecnici dell’exploit non sono stati diffusi. Murphy ha spiegato che la scelta è voluta, per evitare abusi su larga scala finché la falla resterà senza patch.

Perché il rischio è serio per gli utenti

L’impatto potenziale non è affatto secondario. Secondo dati del 2023 citati da Tyler Murphy, circa il 55% degli utenti di Mail su iOS aveva attivato Hide My Email. Questo basta a far capire quanto la funzione sia già presente nell’ecosistema Apple.

Per chi la usa, il rischio non si ferma a qualche messaggio indesiderato in più. Se viene esposto un indirizzo che credevi nascosto, diventano più facili lo spam mirato, la profilazione e i collegamenti tra servizi diversi. Tyler Murphy ha aggiunto che i siti pubblici usati per cercare informazioni sulle persone possono collegare un’email ad altri dati personali, aumentando i rischi per categorie più esposte, come giornalisti, attivisti o persone che cercano di tenere separati lavoro e vita privata.

Quindi no, non è solo una seccatura.

In certi casi può trasformarsi in un problema concreto di sicurezza personale.

Nuovi alias, domini dedicati e limiti dell’anonimato

Nel frattempo, sempre secondo quanto riportato da Tyler Murphy, Apple starebbe spostando i nuovi alias di Hide My Email dal dominio standard “@icloud.com” a quello dedicato “@private.icloud.com”. Sulla carta, il cambiamento rende più esplicita la funzione di questi indirizzi. I critici, però, fanno notare anche l’altro lato della questione: alias più riconoscibili per i siti potrebbero diventare anche alias più facili da bloccare o da trattare in modo diverso.

C’è poi un limite che spesso viene capito male: Hide My Email protegge la privacy nei confronti di siti e mittenti, ma non garantisce anonimato assoluto. In altri casi, riportati pubblicamente e richiamati da Tyler Murphy, Apple ha fornito informazioni relative agli utenti in risposta a richieste legali arrivate dalle autorità.

Finché questa vulnerabilità non verrà corretta, Hide My Email resta comunque uno strumento utile per ridurre l’esposizione. Non è, però, una barriera infallibile. E per una funzione che si regge tutta sulla fiducia, aspettare più di un anno per una patch resta un segnale difficile da far finta di non vedere: quanto è accettabile che una promessa di privacy così centrale rimanga esposta così a lungo?

Segui Laura su Twitter @LauraCeridono.

Author: Chema Carvajal Sarabia

{ "de-DE": "Journalist, spezialisiert auf Technologie, Unterhaltung und Videospiele. Über das zu schreiben, was mich begeistert (Gadgets, Spiele und Filme), ermöglicht es mir, bei Verstand zu bleiben und mit einem Lächeln im Gesicht aufzuwachen, wenn der Wecker klingelt. PS: Das stimmt nicht 100% der Zeit.", "en-US": "Journalist specialized in technology, entertainment and video games. Writing about what I'm passionate about (gadgets, games and movies) allows me to stay sane and wake up with a smile on my face when the alarm clock goes off. PS: this is not true 100% of the time.", "es-ES": "Content Manager - Periodista especializado en tecnología, entretenimiento y videojuegos. Escribir sobre lo que me apasiona (cacharros, juegos y cine) me permite seguir cuerdo y despertarme con una sonrisa cuando suena el despertador. PD: esto no es cierto el 100 % de las veces.", "fr-FR": "Journaliste spécialisé dans la technologie, le divertissement et les jeux vidéo. Écrire sur ce qui me passionne (gadgets, jeux et films) me permet de rester sain d'esprit et de me réveiller avec le sourire aux lèvres quand le réveil sonne. PS : cela n'est pas vrai 100 % du temps.", "it-IT": "Giornalista specializzato in tecnologia, intrattenimento e videogiochi. Scrivere di ciò che mi appassiona (gadget, giochi e film) mi permette di mantenere la sanità mentale e di svegliarmi con un sorriso sul viso quando suona la sveglia. PS: questo non è vero al 100% del tempo.", "ja-JP": "", "nl-NL": "", "pl-PL": "", "pt-BR": "Jornalista especializado em tecnologia, entretenimento e videogames. Escrever sobre o que me apaixona (gadgets, jogos e filmes) me permite manter a sanidade e acordar com um sorriso no rosto quando o despertador toca. PS: isso não é verdade 100% do tempo.", "social": { "email": "chemacs91@gmail.com", "facebook": "", "twitter": "https://twitter.com/chematopetazo", "linkedin": "" } }