Un grave bug di sicurezza nel servizio Hide My Email di Apple consente a chiunque di risalire all'indirizzo reale associato a un alias generato. La vulnerabilità, scoperta dal ricercatore Tyler Murphy, è stata segnalata ad Apple oltre un anno fa ma l'azienda non ha ancora rilasciato una correzione. I test condotti da Murphy hanno dimostrato una percentuale di successo del 100% nel recupero degli indirizzi veri. La notizia è stata diffusa da 404 Media, che ha deciso di non pubblicare i dettagli tecnici per evitare abusi.
Il funzionamento del bug e l'impatto sulla privacy
Hide My Email è una funzione di iCloud+ che genera indirizzi email casuali da usare al posto del proprio indirizzo reale, proteggendo così la privacy dell'utente. Tuttavia, la falla scoperta da Murphy permette di bypassare questa protezione. Secondo il ricercatore, basta inviare un'email a un alias generato per ricevere una risposta automatica che rivela l'indirizzo vero. Il problema riguarda tutte le versioni recenti di iOS e macOS, e qualsiasi utente di Hide My Email è potenzialmente esposto. Questo significa che spammer, tracker pubblicitari o attori malevoli potrebbero facilmente ottenere l'indirizzo reale di chi utilizza il servizio, vanificando lo scopo della funzione.
Sponsored Protocol
La mancata risposta di Apple e le conseguenze
Murphy ha segnalato il bug ad Apple tramite il programma di bug bounty a marzo 2025, ma l'azienda non ha mai riconosciuto il problema né rilasciato una patch. Dopo oltre 15 mesi di attesa, il ricercatore ha deciso di rendere pubblica la vulnerabilità attraverso 404 Media. Apple non ha commentato ufficialmente, ma secondo fonti vicine all'azienda il team di sicurezza sta ancora valutando la gravità del bug. Questa lentezza è preoccupante, soprattutto considerando che servizi simili come DuckDuckGo Email Protection e Firefox Relay offrono alternative sicure. La mancata correzione espone milioni di utenti a potenziali violazioni della privacy.
Sponsored Protocol
Confronto con altre vulnerabilità e lezioni apprese
Non è la prima volta che Apple affronta critiche per la gestione delle vulnerabilità. Ad esempio, un precedente bug in Safari aveva permesso a siti web di tracciare gli utenti nonostante le impostazioni di privacy. Inoltre, recenti attacchi ai browser AI hanno dimostrato come le barriere di sicurezza possano essere eluse con premesse false, come riportato in un nostro articolo correlato (link). Anche OpenAI ha imposto restrizioni in Europa, sollevando dubbi sulla protezione dei dati (link). La vicenda Hide My Email evidenzia la necessità di una maggiore trasparenza e reattività da parte delle big tech.
Sponsored Protocol
Per approfondire il funzionamento della privacy nelle email, si può consultare la pagina di Wikipedia sulla protezione dell'indirizzo email (link esterno).
Cosa possono fare gli utenti per proteggersi
In attesa di una correzione ufficiale, gli utenti possono adottare alcune misure temporanee. Disabilitare temporaneamente Hide My Email e passare a servizi alternativi come DuckDuckGo Email Protection o SimpleLogin. Inoltre, è consigliabile non utilizzare alias generati per servizi critici come banche o account governativi. Monitorare le impostazioni di iCloud è fondamentale per verificare eventuali anomalie. Apple, da parte sua, dovrebbe accelerare i tempi di risposta e comunicare chiaramente le misure di mitigazione.
Fonte: https://www.macrumors.com/2026/07/01/hide-my-email-vulnerability-exposes-real-addresses