Eine Sicherheitslücke in Apples Datenschutzfunktion „E-Mail-Adresse verbergen“ (Hide My Email) könnte den eigentlichen Zweck des Dienstes aushebeln. Ein Sicherheitsforscher behauptet, dass sich die echte E-Mail-Adresse hinter anonymisierten Alias-Adressen ermitteln lässt – und zwar in allen bislang getesteten Fällen.
Besonders brisant: Apple soll bereits seit mehr als einem Jahr über das Problem informiert sein, ohne es vollständig behoben zu haben. Entdeckt wurde die Schwachstelle von Tyler Murphy, Mitgründer des Datenschutzdienstes EasyOptOuts. Nach eigenen Angaben informierte er Apple bereits im Juni 2025 über die Sicherheitslücke und lieferte dem Unternehmen eine Anleitung zur Reproduktion des Problems. Apple bestätigte den Eingang des Berichts und erklärte zunächst, den Fehler zu untersuchen.
404 Media bestätigt den Fehler
Im März 2026 teilte Apple dem Forscher mit, das Problem sei durch eine Systemänderung behoben worden. Murphy überprüfte das und stellte fest, dass die Sicherheitslücke weiterhin ausnutzbar war. Nachdem Apple den Forscher anschließend mehrfach um Geduld bat und eine zeitnahe Lösung versprach, entschied sich Murphy nun, die Existenz der Schwachstelle öffentlich zu machen.
Laut einem Bericht von 404 Media konnten die Journalisten die Sicherheitslücke unabhängig verifizieren. Um einen Missbrauch zu verhindern, veröffentlichte das Medium jedoch keine technischen Details zur Funktionsweise des Angriffs. Murphy erklärte außerdem, dass in seinen bisherigen Tests 100 Prozent der untersuchten Hide-My-Email-Adressen betroffen gewesen seien. Wie groß das Problem insgesamt ist, lässt sich derzeit allerdings noch nicht abschätzen.
Risiko für die Privatsphäre
„E-Mail-Adresse verbergen“ ist Bestandteil von iCloud+ und soll verhindern, dass Websites oder Apps die persönliche E-Mail-Adresse eines Nutzers erhalten. Stattdessen erstellt Apple zufällige Alias-Adressen, die eingehende Nachrichten an das eigentliche Postfach weiterleiten.
Sollte sich die echte E-Mail-Adresse dennoch ermitteln lassen, könnte dies weitreichende Folgen für die Privatsphäre haben. E-Mail-Adressen lassen sich häufig mit öffentlich zugänglichen Datenbanken verknüpfen, wodurch sich weitere persönliche Informationen wie Name oder Anschrift ermitteln lassen. Gerade Nutzer, die die Funktion aus Sicherheits- oder Datenschutzgründen verwenden, könnten dadurch besonders gefährdet sein.


