Una falla di sicurezza nella funzione Hide My Email di Apple consentirebbe di esporre gli indirizzi email reali degli utenti, vanificando lo scopo dello strumento di privacy. Secondo quanto riportato dal ricercatore Tyler Murphy, il bug è stato scoperto oltre un anno fa e segnalato all'azienda, ma non è ancora stato risolto. Murphy, co-fondatore di EasyOptOuts, ha dichiarato che in test limitati il 100% degli indirizzi generati da Hide My Email è risultato sfruttabile. I dettagli tecnici non sono stati divulgati per evitare abusi, ma il ricercatore ha confermato che la vulnerabilità consente di risalire all'indirizzo reale anche senza accedere all'account iCloud.
Hide My Email è una delle funzioni di punta di Apple per la protezione dei dati. Introdotta con iOS 15, genera indirizzi temporanei e casuali che inoltrano la posta all'indirizzo reale dell'utente. È particolarmente utile per registrazioni a servizi online, iscrizioni a newsletter o acquisti su siti poco fidati. Tuttavia, la scoperta di Murphy dimostra che la protezione può essere aggirata. Secondo 404 Media, che ha verificato la vulnerabilità, il problema è grave perché numerosi siti di ricerca persone permettono di collegare un indirizzo email ad altri dati personali, come nome, indirizzo fisico e numero di telefono. Chi utilizza Hide My Email per motivi di sicurezza, come giornalisti o attivisti, potrebbe essere particolarmente a rischio di esposizione.
Sponsored Protocol
Il bug scoperto da Tyler Murphy permette di risalire all identità dell utente
Il meccanismo esatto non è stato reso pubblico, ma Murphy ha spiegato che la falla sfrutta il modo in cui Apple gestisce il reindirizzamento delle email. In pratica, alcuni servizi esterni possono intercettare l'indirizzo reale durante il processo di inoltro. I test condotti su volontari hanno mostrato una percentuale di successo del 100%, il che indica che il problema è sistematico e non dipende da configurazioni particolari. EasyOptOuts, la società di Murphy, offre servizi di rimozione dei dati dai broker, e il ricercatore ha sottolineato come la combinazione di dati esposti possa avere conseguenze gravi per la privacy.
Sponsored Protocol
Apple non ha ancora risolto il problema dopo oltre un anno dalla segnalazione
Murphy ha avvertito Apple della falla più di un anno fa, ma l'azienda non ha ancora rilasciato una correzione. Questo ritardo solleva interrogativi sulla reale priorità della privacy per il colosso di Cupertino. In passato, Apple è stata accusata di promettere più privacy di quanta ne offra realmente. Nel 2022, una causa sosteneva che le app iPhone continuavano a inviare dati di analisi ad Apple anche con l'impostazione di privacy disattivata. Nel 2023, un'altra ricerca aveva dimostrato che la funzione di anonimizzazione dei MAC address era inefficace. Questi episodi, insieme al bug di Hide My Email, mettono in dubbio la solidità delle protezioni offerte da Apple.
Impatto sulla reputazione di Apple come paladino della privacy
Apple ha costruito gran parte del suo branding sulla protezione dei dati degli utenti. Un bug persistente come questo potrebbe danneggiare la fiducia dei consumatori. È fondamentale che l'azienda affronti rapidamente la vulnerabilità e comunichi in modo trasparente le misure adottate. Nel frattempo, gli utenti dovrebbero considerare alternative per proteggere la propria identità online, come l'uso di servizi di email temporanei indipendenti o di strumenti di cifratura aggiuntivi. La vicenda dimostra che nessuna protezione è infallibile e che la vigilanza rimane essenziale.
Sponsored Protocol
Per approfondire, leggi anche come un ricercatore ha sfruttato Claude Opus 4.7 per trovare una falla in Front Gate Tickets, un esempio di come le vulnerabilità possano emergere in contesti diversi. Per maggiori informazioni sulla privacy digitale, consulta la pagina di Wikipedia su Apple e la privacy.