Il servizio pensato da Apple per proteggere la privacy potrebbe fare esattamente il contrario di quello che promette. Stiamo parlando di Hide My Email, la funzione inclusa in iCloud+ che permette di creare alias di fantasia per iscriversi a siti, app e newsletter senza mai consegnare l’indirizzo vero collegato all’account Apple. Peccato che, stando a una recente segnalazione, quel muro di protezione abbia una crepa piuttosto seria: dall’alias si potrebbe risalire all’email reale dell’utente.
A far emergere il problema è stato Tyler Murphy, co-fondatore di EasyOptOuts, che ha individuato la vulnerabilità e l’ha comunicata direttamente alla casa di Cupertino. Il difetto sarebbe ancora sfruttabile oggi, tanto che a Murphy è stato chiesto di dimostrarlo: gli è stato fornito un alias generato con Hide My Email e in pochi minuti ha risposto con l’indirizzo di posta principale nascosto dietro quell’alias. Corretto.
Cosa si sa davvero sulla falla
Il ricercatore racconta di aver avvisato Apple circa un anno fa, ma da allora nessun intervento risolutivo sarebbe arrivato. Per questo ha deciso di confermare pubblicamente l’esistenza del problema, evitando però di spiegare i passaggi tecnici per replicarlo. Una scelta sensata, visto che la falla resta attiva.
Murphy sostiene che, nelle prove condotte con alcuni volontari, il 100% degli indirizzi Hide My Email testati fosse esposto allo stesso identico rischio. Non conosciamo il campione, né la configurazione degli account o le condizioni precise dell’attacco. Il punto però è chiaro: l’alias non va considerato una barriera solida contro chi ha davvero intenzione di scoprire l’account reale.
La cronologia è interessante. Dopo la segnalazione responsabile di giugno 2025, a marzo 2026 Apple avrebbe fatto sapere di aver sistemato il problema con una modifica al sistema. Peccato che il ricercatore, riprovando, abbia trovato la falla ancora lì. Nuovo invio di informazioni, nuove indagini e a maggio 2026 la richiesta di non divulgare i dettagli per non esporre i clienti. Verso fine maggio si è parlato di un futuro aggiornamento di sicurezza. Al momento, però, la vulnerabilità non sembra ancora chiusa.
Perché un alias non è solo un filtro antispam
Tanti usano gli alias email per ridurre lo spam e i contatti indesiderati. Uso legittimo, ma limitato. La vera funzione è un’altra: separare le identità. Un indirizzo per un servizio, uno diverso per un altro, senza collegamenti diretti alla casella principale. Se un sito viene violato, l’alias finisce magari in un database venduto online, ma l’email primaria resta al riparo.
Il guaio nasce quando questa separazione diventa reversibile. Un sistema di inoltro come quello di Apple deve per forza conoscere il legame tra alias e destinatario reale, altrimenti i messaggi non arriverebbero. Quel legame dovrebbe restare chiuso nei server del provider e non trapelare attraverso API, messaggi di errore, intestazioni o funzioni di recupero account. Basta un solo punto in cui il servizio conferma troppo, e l’alias si trasforma in una chiave di ricerca. Va detto: Hide My Email non è mai stato anonimo.
Come potrebbe avvenire il furto dell’indirizzo
La spiegazione più credibile riguarda una perdita di metadati nel sistema di relay. Quando Apple gestisce un messaggio, deve riscrivere intestazioni, mittente, destinatario e indirizzi di ritorno. In questi messaggi possono comparire header specifici come X-Icloud-Hme, con campi che rappresentano alias, dominio e destinatario.
Ci sono vari modi in cui l’indirizzo reale potrebbe emergere. Header non ripuliti bene, per esempio: se anche un solo campo come From, Reply-To o Return-Path conserva l’indirizzo vero, chi legge i sorgenti dell’email lo trova. Oppure i bounce, cioè i messaggi di errore SMTP. Costruendo una mail che genera un errore, un server troppo loquace potrebbe restituire l’indirizzo effettivo nel messaggio di risposta. È una classe di bug molto diffusa nei sistemi di inoltro.
C’è poi la questione degli indirizzi relay prevedibili. In alcuni flussi Apple non spedisce davvero dalla email casuale, ma usa un indirizzo relay lungo e specifico per il destinatario. Se una falla permette di interrogare quella mappatura, l’alias smette di proteggere qualsiasi cosa.
Per chi usa il servizio, la mossa più prudente al momento è evitare Hide My Email nelle situazioni ad alto rischio personale finché Apple non chiarisce la faccenda, non rispondere da alias senza certezze e, quando possibile, controllare i sorgenti dei messaggi. Intanto Cupertino ha già annunciato un cambiamento imminente: i nuovi alias passeranno da @icloud.com a @private.icloud.com, così da renderli più riconoscibili ai siti e più separati dagli indirizzi iCloud normali.