Apple kennt "Meine E-Mail-Adresse verbergen"-Bug seit einem Jahr

Nutzer des kostenpflichtigen Dienstes iCloud+ sind von einem Datenschutzproblem betroffen. Eine Sicherheitslücke in der Funktion "E-Mail-Adresse verbergen" ermöglicht es Angreifern, die tatsächliche E-Mail-Adresse auszulesen.
App, Software, Apps, E-Mail, App Store, Programm, Apple Mail

Schwachstelle im iCloud-Dienst

Das Problem besteht seit mehr als einem Jahr und betrifft alle generierten Alias-Adressen. Die Funktion erzeugt zufällige Adressen, die Nachrichten an das primäre Postfach weiterleiten.

Sie wird genutzt, um Spam zu vermeiden und die eigene Identität bei Registrierungen zu schützen. Durch die Schwachstelle wird dieser Schutz ausgehebelt.


Apple verzögert Fehlerbehebung

Der Sicherheitsforscher Tyler Murphy entdeckte die Lücke im Juni 2025. Laut AppleInsider meldete er den Fehler umgehend und lieferte Anleitungen zur Reproduktion. Eine zeitnahe Behebung blieb jedoch aus.

Apple bestätigte den Eingang der Meldung und erklärte im März 2026, das Problem behoben zu haben. Murphy stellte anschließend fest, dass die Lücke weiterhin besteht. Im Mai teilte der Konzern mit, die Situation zu untersuchen und ein Update vorzubereiten.

Ein von Murphy vorgeschlagener Verkaufsstopp von iCloud+ wurde nicht umgesetzt. Wird die echte Adresse bekannt, können diese mit öffentlich zugänglichen Datenquellen verknüpft werden.

Die Funktion "E-Mail-Adresse verbergen" wurde im Herbst 2021 mit iCloud+ eingeführt und baut auf "Mit Apple anmelden" auf. Ziel ist es, den direkten Kontakt zwischen Nutzern und Anbietern zu reduzieren.

Geplante Änderungen am System

Unabhängig von der Schwachstelle plant Apple technische Anpassungen. Neue Weiterleitungsadressen sollen künftig die Domain private.icloud.com statt icloud.com nutzen. Auch "Mit Apple anmelden" ist betroffen.

Die Änderung könnte es Anbietern erleichtern, Alias-Adressen zu blockieren. Nutzer könnten dadurch häufiger gezwungen sein, reguläre E-Mail-Adressen anzugeben.

Nutzt ihr die Funktion zum Verbergen eurer E-Mail-Adresse regelmäßig? Wie bewertet ihr Apples Umgang mit der langwierigen Sicherheitslücke? Teilt eure Gedanken dazu gerne in den Kommentaren!

Sind meine echten E-Mails in Gefahr?
Ja, das ist leider möglich. Eine Sicherheitslücke in der iCloud+-Funktion "E-Mail-Adresse verbergen" führt offenbar dazu, dass die eigentlich geschützte private E-Mail-Adresse ausgelesen werden kann.

Laut dem Sicherheitsforscher Tyler Murphy waren in begrenzten Tests angeblich 100 Prozent der geprüften Alias-Adressen anfällig. Für IT-Profis bedeutet das: Wer die Funktion zur strikten Trennung von Identitäten nutzt, sollte derzeit vorsichtig sein.
Wie leicht lässt sich die Lücke nutzen?
Genaue technische Details werden bewusst zurückgehalten, um Missbrauch zu verhindern. Es heißt jedoch, dass die Enttarnung einer Adresse in Tests durch das Portal 404 Media innerhalb von nur fünf Minuten erfolgreich war.

Die Gefahr im Arbeitsalltag liegt vor allem bei automatisierten Datenhändlern. Öffentlich zugängliche Personensuchdienste könnten diese Schwachstelle angeblich nutzen, um Alias-Adressen mit echten Profilen zu verknüpfen.
Gibt es schon einen Fix von Apple?
Aktuell gibt es noch keine finale Lösung. Apple wurde bereits im Juni 2025 über das Problem informiert. Im März 2026 hieß es seitens Apple, der Fehler sei behoben, was sich jedoch als falsch herausstellte.

Ende Mai 2026 kündigte der Konzern an, dass ein Sicherheitsupdate in den kommenden Wochen erscheinen soll. Bis dahin bleibt die Lücke bestehen, weshalb Administratoren ihre Nutzer entsprechend sensibilisieren sollten.
Sollte ich die Funktion noch nutzen?
Das hängt von Ihrem genauen Anwendungsfall ab. Um sich lediglich vor einfachem Newsletter-Spam zu schützen, ist die Funktion weiterhin nützlich. Geht es jedoch um kritischen Datenschutz, ist derzeit abzuraten.

Der Entdecker der Lücke schlug Apple sogar vor, den Verkauf der Funktion vorübergehend zu stoppen. Wenn Sie absolute Anonymität benötigen, sollten Sie vorerst auf dedizierte Wegwerf-E-Mail-Anbieter ausweichen.
Gibt es Alternativen zu Apples Dienst?
Ja, für sicherheitsbewusste Anwender gibt es etablierte Alternativen. Dienste wie SimpleLogin (gehört zu Proton) oder Addy.io bieten ähnliche Funktionen, sind Open Source und oft flexibler in der Handhabung.

Diese Tools erlauben es beispielsweise, eigene Domains für die Alias-Adressen zu nutzen. Das verhindert, dass Dienste Sie aufgrund einer bekannten Wegwerf-Domain blockieren, und bietet eine bessere Kontrolle über den Datenfluss.
Zusammenfassung
  • Eine kritische Schwachstelle gefährdet die iCloud-Funktion E-Mail verbergen
  • Sicherheitsforscher warnten Apple bereits vor über einem Jahr vor dem Fehler
  • Trotz mehrfacher Meldung und fehlerhafter Fixes bleibt die Lücke ungelöst
  • Angreifer können die echten privaten E-Mail-Adressen der Nutzer aufdecken
  • Apple kündigte ein Sicherheitsupdate für die kommenden Wochen dazu an
  • Nutzer sollten bei kritischen Daten vorerst auf alternative Dienste setzen

Siehe auch:


Apples Aktienkurs in Euro
Tipp einsenden
❤ WinFuture unterstützen
Sie wollen online einkaufen? Dann nutzen Sie bitte einen der folgenden Links, um WinFuture zu unterstützen: Vielen Dank!