Apple e la privacy: cosa insegna il caso del bug in “Nascondi la mia email”


Lanciata da Apple nel 2021, la funzione di iCloud+ “Nascondi la mia email” consente agli utenti di registrarsi ai servizi online utilizzando indirizzi di posta effimeri, che poi inoltrano i messaggi in arrivo nelle caselle di posta di loro proprietà, così da condividere il minor numero possibile di informazioni personali con aziende e fornitori.

Un’opzione pensata per tutelare la privacy degli utenti che, a causa di una vulnerabilità, sembra la stia mettendo a rischio da oltre un anno, rendendone accessibili i dati sensibili.

A fare luce sulla questione è il ricercatore Tyler Murphy, cofounder di EasyOptOuts, un servizio che si occupa di rimuovere i dati personali degli utenti dalla rete, che ha segnalato il bug della funzione ad Apple nel giugno 2025, senza comprendere perché la compagnia non sia mai intervenuta per risolvere la questione.

“La notizia è sconcertante sotto vari aspetti, ma ciò che mi impensierisce sono le conseguenze”, commenta Christian Bernieri, DPO (Data Protection Officer). “Le implicazioni per Apple sono ovvie: i proclami sulla privacy, ampiamente utilizzati come claim pubblicitario, hanno perso ogni valore in un istante, vanificando anni di advertising focalizzato sulla privacy dell’utente. Se un bug impatta pesantemente sulla sicurezza delle identità digitali degli utenti e non viene gestito, significa che non è una priorità, anche perché nulla avviene per caso in Apple”.


Una vulnerabilità in “Nascondi la mia email” lunga un anno

“La funzione ‘Nascondi la mia email’ di Apple sta divulgando indirizzi e-mail che dovrebbero rimanere nascosti. Abbiamo segnalato il problema e fornito le istruzioni per verificarne la riproducibilità ad Apple più di un anno fa. Non sappiamo perché non sia stato ancora risolto, ma non ci sentiamo a nostro agio nell’attendere ancora. Gli utenti […] meritano di sapere che gli hacker potrebbero scoprire i loro indirizzi e-mail nascosti”. Così Tyler Murphy ha fatto luce sulla vulnerabilità della funzione, che sta mettendo a rischio la privacy degli utenti già da moltissimo tempo.

Dopo aver segnalato il bug lo scorso anno, infatti, il ricercatore ha ricevuto una risposta da Apple solo nel marzo 2026, quando la compagnia gli ha comunicato di aver “risolto il problema segnalato con una recente modifica al sistema”.

Dopo aver effettuato i controlli del caso, Murphy ha scoperto che il problema non era stato affatto risolto, e così ha deciso di informare repentinamente la compagnia, che è tornata a lavorare sulla vulnerabilità.

Dopo due mesi, però, Apple non sembrava aver trovato ancora alcuna soluzione plausibile. “Stiamo ancora indagando su questo problema – scrive la società al ricercatore agli inizi di maggio 2026 –. Per evitare di mettere a rischio i nostri clienti, apprezzeremmo che non divulgaste queste informazioni fino a quando la nostra indagine non sarà completata. Apprezziamo il vostro aiuto nel mantenere e migliorare la sicurezza dei nostri prodotti”.

Nel frattempo, Apple ha pianificato di risolvere il problema con un aggiornamento di sicurezza che sarà rilasciato in estate. Secondo quanto riportato da Murphy a 404 Media, testata che per prima ha reso pubblica la vulnerabilità, allo stato attuale non è stata trovata ancora alcuna soluzione che impedisce agli indirizzi email degli utenti di risultare visibili negli scambi di comunicazioni avviati con la funzione “Nascondi la mia email”.


“Il bug può essere stato un errore, ignorarlo per un anno è una scelta, non una dimenticanza”, commenta ancora Christian Bernieri.

Secondo l’esperto privacy, “le conseguenze sulla gente sono molto più gravi e la reale portata si capisce se si pensa al paradosso del parapetto: un parapetto infonde sicurezza e le persone, fidandosi, si sporgono serenamente su un dirupo per osservare il panorama. Se il parapetto cede, le vittime sono tantissime, molte di più di quelle che avremmo se il dirupo fosse privo di parapetto. Se ci si sente al sicuro da occhi indiscreti, i comportamenti diventano più liberi e sereni; scoprire di non essere stati protetti comporta una grande delusione, un grande rischio, una grande paura”.

La considerazione di Bernieri è che “ci siamo fidati e abbiamo usato gli indirizzi email camuffati su siti non sicuri o per accedere a servizi estremamente personali che, a seconda del governo in carica, possono essere considerati significativi per politiche repressive, anche retroattivamente. Scoprire che chiunque può risalire alla nostra mail reale, quindi alla nostra identità, trasforma quel parapetto in una trappola mortale. Non sempre si può rimediare perché i comportamenti digitali lasciano tracce indelebili. Le persone devono essere avvisate appena possibile, ma non credo che vedremo una campagna pubblicitaria su questo tema”.

Una funzione che non protegge davvero la privacy

La vulnerabilità che espone gli indirizzi email degli utenti Cloud è solo uno dei tanti problemi della funzione a pagamento “Nascondi la mia email”. Nonostante Apple affermi di non poter leggere i messaggi inoltrati dagli indirizzi effimeri creati per registrarsi a servizi e piattaforme in rete, questi non sembrerebbero essere davvero inaccessibili.

Secondo quanto riportato dalle testate internazionali, all’inizio di marzo 2026 l’FBI è riuscita a ottenere alcune informazioni sensibili da Apple, tra cui un indirizzo email collegato a uno effimero generato con “Nascondi la mia email”, nell’ambito di un’indagine relativa alle minacce ad Alexis Wilkins, fidanzata del direttore dell’FBI Kash Patel.


Più nel dettaglio, i documenti ufficiali riferiscono che la compagnia ha fornito alle forze dell’ordine il nome completo e l’indirizzo email dell’utente coinvolto nelle indagini, oltre ai dati relativi ai 134 account generati utilizzando la funzione, violandone di fatto la privacy.

Questo, però, non sembrerebbe essere un caso isolato. Stando ad alcuni documenti visionati da TechCrunch all’inizio dell’anno, Apple avrebbe fornito agli agenti federali dell’Homeland Security Investigations – un’unità parte dell’ICE – informazioni sensibili su un utente coinvolto in un’indagine per presunta frode di identità, che avrebbe utilizzato la funzione “Nascondi la mia email” per creare decine e decine di indirizzi email anonimi.

Anche in questo caso, nonostante il fine sia quello di agevolare la giustizia, Apple sembrerebbe non essersi preoccupata affatto della privacy dei suoi utenti, soprattutto considerando che vende buona parte dei suoi servizi Cloud come protetti da crittografia end-to-end.

Nonostante questo, la questione fa riflettere sui limiti delle comunicazioni via e-mail, non crittografate e, quindi, alla mercé non solo delle forze dell’ordine, ma anche – e soprattutto – dei criminali.


#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
 Chiara Crescenzi

Source link


Di