E-Mail-Adresse verbergen

Sicherheitslücke: Apple-Dienst verrät echte E-Mail-Adressen

Apple
Bildquelle: CryptoFX / Shutterstock.com

Eine Schwachstelle in Apples Funktion E-Mail-Adresse verbergen legt echte Nutzeradressen offen. Der Fehler besteht trotz angeblicher Behebung weiter.

Die von Apple angebotene Funktion E-Mail-Adresse verbergen weist eine Sicherheitslücke auf, durch die unbefugte Dritte die echte E-Mail-Adresse eines Nutzers einsehen können. Das Werkzeug dient eigentlich dazu, zufällige E-Mail-Adressen zu generieren, um die echte Identität bei der Anmeldung auf Webseiten oder bei Newslettern zu schützen. Der Sicherheitsforscher Tyler Murphy, Mitbegründer von EasyOptOuts, entdeckte den Fehler und meldete ihn bereits im Juni 2025 an Apple. Im März 2026 erklärte der Technologiekonzern, er habe das gemeldete Problem in einer kürzlichen Systemänderung behoben. Nach Angaben von Murphy besteht die Schwachstelle jedoch weiterhin unverändert fort.

Anzeige

Verifizierung und Zurückhaltung technischer Details

Das US-Medium 404 Media hat die Existenz der Schwachstelle unabhängig verifiziert. Genaue technische Details zum Ablauf des Angriffs wurden bislang nicht veröffentlicht, da die Sicherheitslücke zum aktuellen Zeitpunkt noch ausnutzbar ist. Murphy begründete die Veröffentlichung nach mehr als einem Jahr Wartezeit damit, dass keine Fortschritte erzielt wurden. Er äußerte:

„Nutzer von ‚E-Mail-Adresse verbergen‘ verdienen es zu wissen, dass es für Angreifer möglich sein kann, ihre verborgenen E-Mail-Adressen herauszufinden.“

Tyler Murphy, Mitbegründer von EasyOptOuts

Anzeige

Nach der vermeintlichen Behebung im März untersuchte Apple den Vorfall bis Mai 2026 weiter und bat den Entdecker, die Informationen bis zum Abschluss der Analyse nicht publik zu machen. Da eine Lösung ausblieb, wandte sich Murphy an die Öffentlichkeit.

Geplante Domain-Umstellung birgt neue Probleme für Apple

Zusätzlich zu dem Sicherheitsrisiko steht die Funktion vor einer strukturellen Änderung. Apple plant, die generierten Adressen von E-Mail-Adresse verbergen und Anmelden mit Apple unter einer neuen, einheitlichen Subdomain namens @private.icloud.com zusammenzuführen. Bislang wurden hierfür Endungen wie @icloud.com oder @privaterelay.appleid.com genutzt.

Branchenexperten weisen darauf hin, dass diese Umstellung den Nutzen der Funktion einschränken könnte. Es besteht das Risiko, dass Administratoren von Webdiensten und Onlineshops E-Mail-Adressen mit dieser spezifischen Endung pauschal blockieren oder die Registrierung damit verweigern. Eine aktuelle Stellungnahme von Apple zu der anhaltenden Sicherheitslücke liegt noch nicht vor.

(red)

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.