Sicherheitslücke in Apples Privatsphäre-Feature: "E-Mail-Adresse verbergen" entlarvt echte Adressen

Christian Palm • 03.07.26 - 07:02 Uhr
2 Min. Lesezeit • 0 Kommentare
Ein schwerer Bug in Apples iCloud+ Feature "E-Mail-Adresse verbergen" leakt offenbar die echten Mailadressen der Nutzer - und das seit über einem Jahr.
Internet Security Warnung Hack Phishing

Apples Versprechen von absoluter Privatsphäre hat einen empfindlichen Dämpfer erhalten. Eine der beliebtesten Sicherheitsfunktionen von iCloud+ weist offenbar eine eklatante Schwachstelle auf. Das Feature „E-Mail-Adresse verbergen](https://support.apple.com/de-de/105078), das Nutzer vor Spam und Tracking schützen soll, tut derzeit genau das Gegenteil: Ein ungefixter Softwarefehler ermöglicht es Angreifern, die echten, privaten E-Mail-Adressen der Anwender auszulesen. Besonders brisant: Apple weiß offenbar seit über einem Jahr von dem Problem, hat es bis heute jedoch nicht behoben.

Die Illusion der anonymen Alias-Adresse

Das Prinzip hinter „E-Mail-Adresse verbergen“ ist so simpel wie effektiv gedacht: Wer ein kostenpflichtiges iCloud-Plus-Abo besitzt, kann beim Registrieren auf Websites oder in Apps zufällige, einmalige E-Mail-Adressen generieren lassen. Eingehende Nachrichten werden von Apple automatisch an das echte, private Postfach weitergeleitet.

Der Vorteil: Der Betreiber der Website erfährt nie die echte Identität des Nutzers. Kommt es zu einem Datenleck oder wird die Adresse für Spam missbraucht, lässt sich der spezifische Alias einfach löschen. Der aktuelle Bug hebelt genau diesen Schutzmechanismus aus und legt die dahinterliegende, verifizierte Haupt-E-Mail-Adresse offen.

Ein Jahr Untätigkeit trotz funktionierendem Exploit

Entdeckt wurde die Schwachstelle bereits im Juni 2025 von dem Sicherheitsforscher Tyler Murphy, der beim Datenlöschdienst Easyoptouts arbeitet. Murphy meldete den Fehler umgehend über Apples offizielles Bug-Bounty-Programm. Doch statt eines schnellen Patches passierte monatelang nichts. Der Tech-Kanal 404 Media konnte die Sicherheitslücke mithilfe des von Murphy bereitgestellten Exploits in eigenen Tests erfolgreich replizieren - selbst frisch generierte Einmal-Adressen gaben die echte Adresse sofort preis.

Aus Sicherheitsgründen halten sich die Entdecker mit technischen Details zur Funktionsweise des Exploits bedeckt. Apple selbst hatte den Forscher explizit darum gebeten, keine Details zu veröffentlichen. Murphy entschied sich nun dennoch für den Gang an die Öffentlichkeit, da Apple ihn seit einem Jahr vertröstet und lediglich mitteilt, dass der Vorfall „untersucht werde“.

Warum der Leak für Nutzer gefährlich ist

Der Bug ist weit mehr als ein kleiner Schönheitsfehler. Das Verschleiern der E-Mail-Adresse schützt Nutzer davor, dass Datenhändler verschiedene Online-Konten miteinander verknüpfen können. Fällt die echte E-Mail-Adresse in die Hände von Angreifern, öffnet dies Tür und Tor für gezielte Phishing-Kampagnen.

Zudem warnt Murphy davor, dass Kriminelle die echte Adresse nutzen können, um über öffentlich zugängliche Personensuchmaschinen im Netz („People-Finder“-Seiten) an weitere sensible Daten wie Klarnamen, Telefonnummern oder Wohnorte der Betroffenen zu gelangen. Solange Apple kein Sicherheitsupdate bereitstellt, sollten datenschutzbewusste Nutzer bei sensiblen Registrierungen vorsichtig sein und gegebenenfalls auf alternative Alias-Dienste ausweichen.

Quelle:
t3n.de

Kommentare (0)

Kommentar schreiben
Wir speichern nur das absolut nötigste! Mehr Infos gibt es in der Datenschutz­erklärung.