Uno degli strumenti di privacy più apprezzati dell’ecosistema Apple è finito al centro di un nuovo caso di sicurezza. Secondo quanto emerso nelle ultime ore, una vulnerabilità presente nella funzione “Nascondi la mia email” potrebbe consentire, in determinate circostanze, di risalire all’indirizzo email reale dell’utente, vanificando di fatto lo scopo principale del servizio.
La falla è stata individuata dal ricercatore di sicurezza Tyler Murphy, cofondatore del servizio EasyOptOuts, che sostiene di aver segnalato il problema ad Apple oltre un anno fa. Nonostante la segnalazione, la vulnerabilità risulterebbe ancora presente.
Come funziona “Nascondi la mia email”
La funzione, disponibile per gli utenti iCloud+, permette di creare indirizzi email casuali che fungono da intermediari tra l’utente e siti web o applicazioni. I messaggi vengono inoltrati automaticamente alla casella di posta reale senza che quest’ultima venga mai comunicata al servizio utilizzato. L’obiettivo è semplice: limitare spam, profilazione e raccolta di dati personali, mantenendo nascosto il proprio indirizzo principale.
Secondo il ricercatore, il bug consentirebbe di collegare l’alias generato da Apple all’indirizzo email originale dell’utente. I dettagli tecnici della vulnerabilità non sono stati resi pubblici per evitare possibili abusi prima del rilascio di una correzione.
Il rischio principale è rappresentato dalla possibilità di combinare queste informazioni con i numerosi database pubblici e motori di ricerca dedicati alle persone, che potrebbero permettere di associare un indirizzo email ad altri dati personali.
Apple ancora al lavoro
Secondo quanto riferito da Murphy, Apple avrebbe riconosciuto la segnalazione e comunicato più volte di essere al lavoro sulla correzione. Comunque, l’aggiornamento promesso non sarebbe ancora stato distribuito e la falla risulterebbe tuttora sfruttabile. L’azienda, almeno per il momento, non ha diffuso una comunicazione pubblica sulla vicenda.
Arriva anche un cambiamento agli indirizzi anonimi
La scoperta della vulnerabilità arriva in un momento particolare per il servizio. Apple ha infatti annunciato una modifica agli indirizzi generati dalla funzione, che passeranno progressivamente dal dominio @icloud.com al nuovo @private.icloud.com.
Una scelta pensata per identificare chiaramente gli alias creati dal servizio, ma che secondo alcuni esperti potrebbe rendere più semplice per siti e piattaforme riconoscere – ed eventualmente bloccare – gli indirizzi anonimi.
Cosa devono fare gli utenti
Al momento non esistono indicazioni che suggeriscano di interrompere l’utilizzo della funzione, soprattutto perché i dettagli della vulnerabilità non sono stati divulgati pubblicamente.