Gli alias Apple rivelano gli indirizzi reali.
[ZEUS News - www.zeusnews.it - 04-07-2026]

Una vulnerabilità nel servizio "Nascondi la mia email" ("Hide my email") di Apple ha esposto gli indirizzi reali degli utenti, rendendo possibile identificarli attraverso richieste inviate ai server dell'azienda. Il problema, documentato da ricercatori indipendenti, riguarda il modo in cui il sistema gestisce le email inoltrate dagli alias generati automaticamente, permettendo a un mittente di ottenere l'indirizzo reale del destinatario tramite un semplice messaggio di verifica.
La funzione "Hide My Email" è progettata per creare alias casuali che inoltrano i messaggi alla casella principale dell'utente, mantenendo riservato l'indirizzo reale. La vulnerabilità sfrutta il comportamento del server quando riceve una richiesta di conferma di recapito: il sistema risponde includendo l'indirizzo reale del destinatario all'interno dell'header SMTP, rendendolo visibile a chi invia la richiesta. Secondo le analisi pubblicate, il problema è riproducibile inviando un messaggio SMTP con il comando "RCPT TO" verso un alias generato dal servizio. La risposta del server contiene un header che rivela l'indirizzo reale dell'utente, violando il principio di anonimizzazione su cui si basa la funzione. La vulnerabilità è stata testata con alias creati tramite iCloud e tramite la funzione integrata in iOS e macOS.
Le verifiche mostrano che il comportamento è consistente e non limitato a specifiche configurazioni. Il server di inoltro risponde con un messaggio di errore che include l'indirizzo reale, permettendo di ottenere informazioni sensibili senza necessità di autenticazione. Il problema riguarda esclusivamente la fase di verifica SMTP e non l'inoltro dei messaggi ordinari. La vulnerabilità è stata segnalata ad Apple, ma non risulta ancora corretta al momento in cui scriviamo. Il comportamento sembra essere presente da tempo e potrebbe aver esposto gli indirizzi reali di numerosi utenti che utilizzano alias per registrarsi a servizi online o per proteggere la propria identità digitale.
La falla è stata verificata anche utilizzando alias generati tramite il servizio "Accedi con Apple" ("Sign in with Apple"), che utilizza la stessa infrastruttura di inoltro. Questo implica che l'esposizione degli indirizzi reali potrebbe riguardare anche utenti che hanno scelto di nascondere l'email durante la registrazione a servizi di terze parti. Al momento Apple non ha commentato la scoperta, né risultano comunicazioni pubbliche sull'esistenza della vulnerabilità o indicazioni su eventuali interventi correttivi. La mancanza di una risposta ufficiale lascia aperta la questione sulla tempistica di risoluzione e sull'impatto complessivo del problema.
|
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
© RIPRODUZIONE RISERVATA |
|
|
|
||
|
