Un servizio Apple progettato per nascondere gli indirizzi email reali degli utenti rischia di produrre l’effetto opposto: rivelare proprio l’indirizzo di posta personale che avrebbe dovuto restare riservato. La segnalazione riguarda Hide My Email (Nascondi la mia email, in italiano), funzione inclusa in iCloud+ che consente agli utenti di creare alias di fantasia per registrarsi a siti, app e newsletter senza consegnare l’indirizzo principale associato all’account Apple.
Secondo Tyler Murphy, co-fondatore di EasyOptOuts, che ha scoperto e segnalato al problema alla Mela, ancora oggi sarebbe presente nel servizio Nascondi la mia email una grave vulnerabilità che permette di risalire dall’alias all’indirizzo reale dell’utente. Il problema risulterebbe ancora sfruttabile, tanto che 404 Media ha chiesto a Murphy di svelare l’email principale (nascosta), associata a un account creato con Hide My Mail: dopo pochi minuti il ricercatore ha risposto in modo corretto.
Che cosa è emerso sulla vulnerabilità di Hide My Email
Il ricercatore spiega di aver informato Apple sull’esistenza della vulnerabilità in Hide My Email già un anno fa ma da allora il team della Mela non sarebbe ancora intervenuto per risolverla. Così, ha voluto oggi confermare l’esistenza del problema, pur non diffondendo i passaggi tecnici per raggiungere il risultato. Una scelta corretta visto che il difetto risulterebbe ancora sfruttabile.
Murphy sostiene che, nelle verifiche limitate condotte con volontari, il 100% degli indirizzi Hide My Email provati risultava affetto dallo stesso problema. Non conosciamo il campione, la distribuzione degli account, le varianti di configurazione o le condizioni precise dell’attacco. Tuttavia, l’alias non va considerato una barriera affidabile contro un soggetto motivato a risalire all’account reale dell’utente.
Dopo la “segnalazione responsabile” di giugno 2025, a marzo 2026 Apple avrebbe comunicato di aver affrontato la segnalazione con una modifica di sistema, ma il ricercatore avrebbe poi verificato la persistenza della falla. Dopo un nuovo invio di informazioni, Apple avrebbe continuato le indagini e, a maggio 2026, avrebbe chiesto di non divulgare i dettagli per non mettere a rischio i clienti. A fine maggio, sempre secondo la ricostruzione, Apple avrebbe parlato di un futuro aggiornamento di sicurezza: al momento, la vulnerabilità non sembra ancora corretta.
Perché un alias email non è solo un filtro antispam
Molti utenti usano gli alias per ridurre spam e contatti indesiderati: è un uso legittimo, ma riduttivo. Un alias email serve soprattutto a compartimentare l’identità: un indirizzo per un servizio, un indirizzo diverso per un altro, nessun collegamento immediato con la casella principale. Se un sito subisce una violazione, l’alias finisce magari in un database venduto online, ma non espone direttamente l’email primaria.
Quando un servizio commerciale vuole correlare l’utente con altri profili, trova un identificatore meno utile. Se una persona cerca di scoprire chi c’è dietro un account, incontra almeno un livello di separazione.
Il problema tecnico nasce quando questa separazione diventa reversibile. Un sistema di inoltro (come quello predisposto da Apple) deve conoscere la relazione tra alias e destinatario reale, altrimenti non può consegnare i messaggi. Tale relazione dovrebbe rimanere confinata nei sistemi del provider (Hide My Email non è anonimo!) e non emergere attraverso API, messaggi di errore, intestazioni, comportamenti del server, funzioni di recupero account, controlli antispam o endpoint pensati per altri scopi. Basta un solo punto in cui il servizio “conferma troppi dati” per trasformare l’alias in una chiave di ricerca.
Come potrebbe funzionare la sottrazione dell’indirizzo email principale
La spiegazione tecnica più plausibile, guardando a come funziona Hide My Email, è una perdita di metadati nel sistema di relay. Quando Apple gestisce un messaggio Hide My Email, deve riscrivere intestazioni, mittente, destinatario e indirizzi di ritorno.
I messaggi Hide My Email possono contenere header specifici come X-Icloud-Hme, con campi che rappresentano alias, dominio, mittente e destinatario. Impossibile affermare che sia esattamente quello il bug, ma è una dimostrazione di come il servizio Apple utilizzi metadati interni per far funzionare il relay. All’atto pratico, gli indirizzi reali potrebbero venire a galla in vari modi, ad esempio:
- Header email non ripuliti correttamente. Un servizio di relay deve rimuovere o riscrivere campi come
From,Reply-To,Return-Path,Sender,Delivered-To,Received, envelope sender e header proprietari. Se anche un solo campo conserva l’indirizzo reale, o un identificatore che lo codifica in modo reversibile, chi riceve o genera il messaggio può leggerlo dai sorgenti dell’email. - Bounce o messaggi di errore SMTP. Un’ipotesi tecnicamente credibile è l’invio di un messaggio costruito in modo da provocare un errore: indirizzo non valido, formato anomalo, allegato respinto, dominio problematico, policy DMARC/SPF/DKIM, ecc. Se il server di Apple restituisce un bounce troppo dettagliato, il messaggio di errore potrebbe includere l’indirizzo reale o un riferimento interno alla casella finale. È una classe di bug molto comune nei sistemi di inoltro: l’utente vede solo l’alias, ma il layer SMTP lavora con l’indirizzo effettivo.
- Relay address prevedibili o riutilizzabili. Un’analisi tecnica precedente di Hide My Email mostrava che, in alcuni flussi, Apple non fa inviare realmente la mail dall’alias casuale: usa un indirizzo relay lungo, specifico per il destinatario, che poi instrada il messaggio. L’autore spiegava che l’alias pubblico e l’indirizzo relay sono due estremità dello stesso meccanismo. Se una vulnerabilità consente di interrogare, forzare o osservare quella mappatura, l’alias smette di essere una barriera.
Note finali
Se davvero il ricercatore ha ricevuto solo un alias Hide My Email appena generato e ha recuperato l’email reale in 5 minuti, allora il problema è quasi certamente nel servizio Apple di inoltro, negli header, nei bounce o in qualche endpoint/logica di mapping.
Per l’utente finale, la misura più prudente consiste nell’astenersi dall’usare Hide My Email per situazioni ad alto rischio personale finché Apple non chiarisce e corregge; evitare di rispondere da alias se non si è certi che il mittente resti l’alias; controllare i sorgenti dei messaggi inviati/ricevuti quando possibile; valutare servizi di aliasing più controllabili, con domini separati e gestione esplicita delle identità.
Apple intanto ha già comunicato un cambiamento imminente: i nuovi alias passeranno da @icloud.com a @private.icloud.com, scelta che li renderà più riconoscibili dai siti ma anche più separati dagli indirizzi iCloud normali.