2 Remove Virus

Il difetto Hide My Email di Apple potrebbe esporre i veri indirizzi email degli utenti

Una vulnerabilità nella funzione di Hide My Email Apple potrebbe permettere agli aggressori di scoprire l’indirizzo email reale dietro un alias anonimo, compromettendo uno degli strumenti di punta dell’azienda per la privacy, secondo i ricercatori di sicurezza e i test indipendenti di 404 Media .

 

 

Hide My Email , disponibile come parte dell’abbonamento iCloud+ di Apple, permette agli utenti di generare alias email casuali che inoltrono i messaggi nella loro casella di posta principale. La funzione è progettata per impedire che siti web, app e altri servizi approvino l’indirizzo email reale di un utente, riducendo allo stesso tempo lo spam e proteggendo la privacy online.

Il problema è stato scoperto da Tyler Murphy, cofondatore della società di privacy EasyOptOuts, che ha segnalato la vulnerabilità ad Apple nel giugno 2025. Murphy ha detto che Apple ha riconosciuto il rapporto e ha indicato che sarà affrontato, ma più di un anno dopo il difetto rimane sfruttabile.

Per evitare di mettere gli utenti a maggior rischio, 404 Media non ha pubblicato i dettagli tecnici della vulnerabilità. Tuttavia, l’emittente ha verificato indipendentemente i risultati generando un nuovo Hide My Email alias e fornendolo a Murphy, che è riuscito a identificare l’indirizzo email reale collegato all’account Apple in circa cinque minuti.

“Non conosciamo l’intera portata del problema, ma nei nostri limitati test con volontari, il 100% degli Hide My Email indirizzi era sfruttabile,” ha detto Murphy a 404 Media. Ha aggiunto che i servizi di ricerca di persone disponibili pubblicamente potrebbero rendere la vulnerabilità ancora più pericolosa permettendo agli aggressori di collegare un indirizzo email esposto ad altre informazioni personali.

Secondo Murphy, Apple lo aveva inizialmente informato nel marzo 2026 che la questione era stata risolta. Dopo aver riprovato, però, ha scoperto che la vulnerabilità funzionava ancora e ha fornito ad Apple ulteriori prove. In comunicazioni successive, Apple avrebbe dichiarato di continuare le indagini e di aspettarsi di rilasciare una correzione in un futuro aggiornamento di sicurezza. A questa settimana, non è stata rilasciata alcuna patch.

La rivelazione arriva mentre Apple si prepara a un altro cambiamento per Hide My Email . L’azienda prevede di migrare tutti gli alias generati nel dominio @private.icloud.com, sostituendo l’attuale combinazione di indirizzi @icloud.com e @privaterelay.appleid.com. Alcuni sostenitori della privacy hanno avvertito che i siti web potrebbero semplicemente bloccare il nuovo dominio, riducendo l’utilità della funzione anche se la vulnerabilità venisse infine risolta.

Per gli utenti che si affidano a Hide My Email separare la propria identità dagli account online, il difetto potrebbe avere significative implicazioni sulla privacy. Esporre un vero indirizzo email può permettere agli aggressori di correlare account su più servizi, facilitare campagne di phishing o scoprire ulteriori informazioni personali tramite database pubblici.

Apple non ha reso pubblici dettagli tecnici del problema né annunciato quando una soluzione sarà disponibile. Fino a quando la vulnerabilità non viene corretta, i ricercatori di sicurezza raccomandano di trattarla Hide My Email come un ulteriore livello di privacy piuttosto che come garanzia di anonimato, soprattutto quando si proteggono identità sensibili.