
Quando ci si registra a un nuovo servizio online, condividere il proprio indirizzo email significa spesso esporsi a spam, profilazione o, nei casi peggiori, alle conseguenze di eventuali violazioni dei dati. Per limitare questi rischi, Apple mette a disposizione degli abbonati a iCloud+ la funzione “Nascondi la mia email”, pensata per creare indirizzi fittizi unici e casuali che fungono da intermediari tra l’utente e siti Web o applicazioni.
Una vulnerabilità scoperta dal ricercatore di sicurezza Tyler Murphy, cofondatore di EasyOptOuts, un’azienda specializzata nella rimozione di dati personali dai cosiddetti “data broker”, che ha fatto la segnalazione a Apple in quanto potrebbe minare proprio questa promessa: in alcune circostanze, infatti, sarebbe possibile risalire all’indirizzo email reale nascosto dietro uno di questi alias. Il problema sarebbe stato segnalato al colosso di Cupertino già da molto tempo, ma la correzione definitiva non è ancora arrivata.
Come funziona “Nascondi la mia email”
La funzione “Nascondi la mia email” fa parte dei servizi inclusi in iCloud+ ed è progettata per evitare che gli utenti debbano comunicare il proprio indirizzo di posta elettronica personale ogni volta che si iscrivono a un sito, effettuano un acquisto online o creano un nuovo account. Al posto dell’email effettiva viene generato automaticamente un indirizzo casuale associato al dominio iCloud, composto da parole e caratteri apparentemente privi di significato.

Le email inviate a questo indirizzo vengono inoltrate automaticamente alla casella di posta dell’utente, senza che il mittente conosca l’indirizzo originale. In questo modo, siti Web e applicazioni interagiscono soltanto con l’alias generato da Apple, mentre l’indirizzo email reale dovrebbe rimanere nascosto.
In qualsiasi momento è inoltre possibile eliminare un alias o interromperne l’inoltro, impedendo di ricevere ulteriori messaggi. Si tratta di uno strumento particolarmente utile per ridurre la quantità di comunicazioni indesiderate e limitare la diffusione dei propri dati personali nel caso in cui un servizio online subisca una violazione informatica. Non è un’eventualità rara: negli ultimi mesi, ad esempio, si è parlato del presunto data breach che avrebbe coinvolto circa 89 milioni di account Steam, un caso che ha riportato l’attenzione sull’importanza di proteggere i propri dati personali anche durante la registrazione ai servizi online.
Com'è stata scoperta la vulnerabilità
La vulnerabilità consentirebbe di collegare alcuni indirizzi generati da “Nascondi la mia email” al corrispondente indirizzo di posta elettronica effettivo dell’utente.
Per verificare la criticità è stato creato un nuovo alias tramite il servizio di Apple. Nel giro di pochi minuti Tyler Murphy è riuscito a risalire all’indirizzo email reale associato, confermando la validità della tecnica. Nei test condotti da EasyOptOuts con un numero limitato di volontari, tutti gli indirizzi analizzati sono risultati vulnerabili. Questo non significa però che ogni account Apple sia certamente esposto o che il metodo possa essere applicato indistintamente a tutti gli utenti: l’effettiva portata del problema resta ancora da chiarire.
Cupertino conosce il problema da oltre un anno
L’aspetto più delicato della vicenda riguarda la gestione della segnalazione. La vulnerabilità è stata segnalata ad Apple nel giugno del 2025, insieme alle istruzioni necessarie per riprodurre il problema. Nei mesi successivi l’azienda avrebbe confermato di aver ricevuto la segnalazione e di essere al lavoro su una correzione.
Nel marzo del 2026 Apple avrebbe comunicato che il problema risultava corretto, ma successive verifiche effettuate dal ricercatore avrebbero mostrato che la falla era ancora sfruttabile. A maggio l’azienda avrebbe quindi chiesto di non divulgare pubblicamente i dettagli mentre proseguivano le indagini, spiegando di essere ancora al lavoro sulla questione. Il gruppo capitanato da Tim Cook avrebbe successivamente confermato che la correzione sarà distribuita con un futuro aggiornamento di sicurezza, senza però indicare una data precisa per il rilascio. Al momento in cui la vicenda è stata resa pubblica, la vulnerabilità risultava ancora presente.
I dettagli della falla non sono stati resi pubblici
A differenza di molte vulnerabilità già corrette, in questo caso i dettagli tecnici della falla non sono stati divulgati. Si tratta di una pratica comune nel settore della sicurezza informatica quando un problema è ancora aperto: rendere pubbliche tutte le informazioni potrebbe infatti facilitare eventuali tentativi di sfruttamento prima che sia disponibile una correzione.
Per questo motivo Tyler Murphy ha condiviso il metodo con Apple, evitando però di renderne nota la descrizione tecnica completa. L’obiettivo è ridurre il rischio che la vulnerabilità venga sfruttata prima che i dettagli tecnici possano essere utilizzati per eventuali attacchi.