Un ricercatore ha scoperto una vulnerabilità in Nascondi la mia email di Apple che permetterebbe di risalire all'indirizzo reale degli utenti. Apple ne è a conoscenza da oltre un anno, ma il problema non è ancora stato risolto.

Il bug di Apple che tradisce gli indirizzi email nascosti: cosa sta succedendo

Se usi il servizio Nascondi la mia email di Apple per proteggere la tua privacy online, c'è un problema che dovresti conoscere. Secondo quanto riportato da Punto Informatico, un ricercatore di sicurezza ha scoperto una vulnerabilità che mina proprio lo scopo per cui il servizio esiste: il ricercatore Tyler Murphy ha dimostrato che, con i giusti accorgimenti, è possibile risalire all'indirizzo email reale che si nasconde dietro gli alias generati da Apple. E il dato più preoccupante è che Apple sarebbe stata avvisata della falla oltre un anno fa, senza che il problema sia stato ancora risolto.

Chi ha scoperto il problema

Tyler Murphy è un ricercatore di sicurezza che ha identificato la vulnerabilità e l'ha segnalata responsabilmente ad Apple. La sua scoperta è stata poi verificata e approfondita da 404 Media, una testata specializzata in cybersecurity, che ha confermato in modo indipendente il bug utilizzando un proprio indirizzo Hide My Email.

Come funziona Nascondi la mia email e cosa è andato storto

Per chi non lo conosce, Nascondi la mia email è una funzione inclusa in iCloud+ (il servizio a pagamento di Apple) che consente di generare indirizzi email casuali e temporanei. Quando ti registri a un sito o a un servizio, invece di fornire il tuo vero indirizzo email, puoi creare un alias che inoltra automaticamente tutti i messaggi alla tua casella reale. In questo modo il tuo indirizzo principale rimane privato e puoi disattivare l'alias in qualsiasi momento se inizia a ricevere spam.

Il problema è che Murphy ha scoperto un modo per collegare questi indirizzi anonimi al vero destinatario. Nei suoi test, il 100% degli indirizzi generati ha permesso a un attaccante di scoprire l'email reale associata. Sia Murphy che 404 Media hanno scelto di non divulgare i dettagli tecnici dell'exploit, proprio perché il problema risulterebbe ancora attivo e fornire istruzioni significherebbe mettere nelle mani di malintenzionati uno strumento per compromettere la privacy di milioni di utenti.

La cronologia della segnalazione

Secondo le ricostruzioni disponibili, Murphy avrebbe segnalato la vulnerabilità ad Apple a giugno 2023. L'azienda ha ricevuto la notifica, ma a distanza di oltre un anno il bug non è stato ancora corretto. Questo lasso di tempo è particolarmente significativo: in genere le aziende tecnologiche affrontano le vulnerabilità di sicurezza con maggiore urgenza, soprattutto quando riguardano servizi specificamente progettati per proteggere la privacy degli utenti.

Perché è importante

Nascondi la mia email rappresenta una delle funzioni di privacy più apprezzate dell'ecosistema Apple. Gli utenti pagano per iCloud+ proprio per accedere a servizi come questo, confidando che Apple protegga effettivamente la loro identità online. Una vulnerabilità che espone completamente questa protezione è un tradimento di quella fiducia.

Il problema è ancora più delicato considerando il contesto più ampio in cui si inserisce. Apple ha recentemente annunciato che gli indirizzi generati da Nascondi la mia email passeranno dal dominio @icloud.com al dominio @private.icloud.com. Questa scelta, pur semplificando la gestione per gli sviluppatori, rende immediatamente visibile che un indirizzo è anonimo: qualsiasi sito web può ora bloccare le registrazioni da quel dominio con una semplice riga di codice. In pratica, Apple sta rendendo visibile quello che era invisibile, riducendo ulteriormente l'utilità del servizio.

La combinazione di questi due fattori—il bug non risolto e il cambio di dominio che rende riconoscibili gli indirizzi anonimi—crea una situazione in cui la privacy degli utenti è compromessa sia a livello tecnico che a livello pratico.

Cosa aspettarsi

Al momento non è chiaro se e quando Apple risolverà il bug. L'azienda non ha rilasciato dichiarazioni pubbliche sulla vulnerabilità, e non è noto se stia lavorando a una patch o a una soluzione alternativa. Gli utenti che attualmente utilizzano Nascondi la mia email dovrebbero essere consapevoli che il servizio potrebbe non offrire il livello di protezione che credono di avere.

Per quanto riguarda il cambio di dominio a @private.icloud.com, Apple ha indicato che il passaggio avverrà "nel corso dell'estate", anche se non è stata fornita una data precisa. Gli indirizzi esistenti continueranno a funzionare, ma i nuovi alias generati utilizzeranno il nuovo dominio.

La situazione rimane in sospeso: una vulnerabilità non risolta, un cambio di strategia che riduce l'anonimato, e utenti che rimangono all'oscuro del rischio reale. Apple avrà l'opportunità di chiarire la situazione e di comunicare ai propri utenti quali misure sta adottando per proteggere la loro privacy, ma finché il bug non sarà corretto, la fiducia nel servizio rimane compromessa.

📰 Fonti

  1. Punto InformaticoApple, scoperto un bug in Nascondi la mia email: privacy a rischio
  2. ispazio.net“Nascondi la mia Email” di Apple ha un bug che espone tutti gli indirizzi email reali
  3. punto-informatico.itNascondi la mia email di Apple, le email anonime diventano visibili
  4. macitynet.itApple cambia dominio a Accedi con Apple e Nascondi la mia email