🛡️ Executive Summary
- Una vulnerabilità in Hide My Email permette di identificare l’indirizzo email reale associato agli alias generati da Apple.
- Il bug, segnalato nel 2025, è stato verificato indipendentemente e continua a interessare tutti gli alias testati.
- L’esposizione compromette una delle principali funzionalità di privacy di iCloud+, aumentando il rischio di phishing e profilazione degli utenti.
Una delle funzionalità più pubblicizzate da Apple per la tutela della privacy degli utenti è oggi al centro di un caso che solleva interrogativi sulla gestione delle vulnerabilità di sicurezza. La funzione Hide My Email, inclusa in iCloud+, è stata infatti interessata da una falla che permette di risalire all’indirizzo email reale nascosto dietro gli alias generati automaticamente dal servizio. Secondo il ricercatore Tyler Murphy, che ha segnalato il problema oltre un anno fa, tutti gli alias analizzati risultano vulnerabili. La vulnerabilità è stata verificata anche dalla redazione di 404 Media, che ha confermato la possibilità di ricostruire l’indirizzo principale partendo da un alias. Pur senza divulgare i dettagli tecnici dell’exploit, i ricercatori hanno deciso di rendere pubblica l’esistenza del problema dopo numerosi rinvii nella distribuzione della patch promessa da Apple.
Cosa leggere
Una vulnerabilità che annulla la protezione degli alias
Hide My Email nasce con l’obiettivo di impedire che siti web, applicazioni e servizi online conoscano l’indirizzo email reale dell’utente. Il sistema genera alias casuali che inoltrano automaticamente i messaggi alla casella principale, consentendo di registrarsi ai servizi senza esporre la propria identità digitale. La vulnerabilità scoperta da Tyler Murphy compromette proprio questo principio. I test effettuati dal ricercatore con un gruppo di volontari hanno dimostrato un tasso di successo del 100%, consentendo di risalire all’indirizzo reale associato agli alias generati dal servizio. Sebbene le modalità tecniche non siano state rese pubbliche per evitare abusi immediati, il risultato mette in discussione l’affidabilità di una delle funzioni di privacy più utilizzate dell’ecosistema Apple.
Una segnalazione rimasta senza soluzione per oltre un anno
La vulnerabilità è stata comunicata ad Apple nel giugno 2025 attraverso un processo di responsible disclosure, corredato da istruzioni complete per riprodurre il problema. L’azienda ha confermato l’avvio delle verifiche e, nei mesi successivi, ha mantenuto un dialogo con il ricercatore. Nel marzo 2026 Apple ha dichiarato di aver corretto il difetto mediante una modifica dell’infrastruttura, ma le verifiche successive effettuate dallo stesso Murphy hanno dimostrato che la vulnerabilità continuava a essere sfruttabile. Dopo ulteriori scambi, Apple ha chiesto di rinviare la divulgazione pubblica promettendo un aggiornamento di sicurezza entro giugno 2026. All’inizio di luglio, tuttavia, la correzione non risulta ancora distribuita e il problema rimane attivo.
La verifica indipendente conferma il rischio
A rafforzare la credibilità della segnalazione è intervenuta 404 Media, che ha riprodotto autonomamente il comportamento della vulnerabilità utilizzando uno dei propri alias Hide My Email. Anche in questo caso è stato possibile individuare l’indirizzo email principale collegato all’account. La doppia verifica indipendente conferma che non si tratta di un’anomalia limitata a specifiche configurazioni, ma di un comportamento sistematico. Il fatto che i dettagli tecnici non siano stati divulgati rappresenta una scelta deliberata dei ricercatori per limitare il rischio di sfruttamento su larga scala fino alla disponibilità di una patch ufficiale.
Perché il problema ha un impatto rilevante sulla privacy
La protezione dell’indirizzo email costituisce uno degli elementi fondamentali della strategia privacy di Apple. Molti utenti utilizzano gli alias per evitare spam, ridurre il tracciamento tra servizi differenti e limitare gli effetti di eventuali violazioni dei dati. Se un attaccante riesce a ricondurre l’alias all’indirizzo reale, viene meno l’intero modello di anonimizzazione. L’indirizzo email rappresenta infatti uno degli identificatori digitali più utilizzati e può essere facilmente correlato a informazioni reperibili in database pubblici, servizi di people search o precedenti data breach. Da quel momento diventa possibile ricostruire profili personali più completi, facilitando campagne di phishing mirato, tentativi di social engineering e attività di profilazione non autorizzata.
Il ruolo di Hide My Email nell’ecosistema Apple
La funzione Hide My Email è integrata in Safari, Mail e nelle procedure di registrazione ai servizi online, consentendo la creazione automatica di indirizzi casuali associati all’account iCloud+. Tutti i messaggi ricevuti vengono inoltrati in modo trasparente alla casella principale, senza che il destinatario conosca l’indirizzo reale dell’utente. Negli ultimi mesi Apple ha inoltre avviato la migrazione degli alias verso il dominio private.icloud.com, scelta che mira a uniformare l’infrastruttura ma che ha anche suscitato alcune critiche, poiché rende più semplice per determinati servizi identificare e bloccare gli indirizzi generati automaticamente. La vulnerabilità appena emersa aggiunge un ulteriore elemento di preoccupazione per chi considera gli alias uno strumento essenziale di protezione della propria identità digitale.
Le conseguenze per gli utenti in attesa della patch
Finché la vulnerabilità resterà aperta, gli alias creati con Hide My Email non potranno essere considerati una barriera assoluta contro l’identificazione dell’indirizzo reale. Questo non significa che tutti gli utenti siano automaticamente esposti, poiché i dettagli necessari allo sfruttamento non sono stati pubblicati, ma la situazione richiede attenzione soprattutto per chi utilizza gli alias in contesti sensibili, come attività professionali, giornalistiche o di ricerca. La vicenda evidenzia inoltre quanto sia delicata la gestione delle vulnerabilità che riguardano strumenti di privacy: quando una funzione nasce per nascondere un dato personale, qualsiasi possibilità di ricondurre quell’informazione all’identità reale dell’utente compromette direttamente la fiducia nel servizio. Gli utenti attendono ora il rilascio di un aggiornamento di sicurezza che elimini definitivamente il problema e ripristini il livello di protezione promesso da Apple.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.








