1. Dashboard
  2. Artikel
  3. Forum
  4. Shop
  • Anmelden
  • Registrieren
  • Suche
News
  • Alles
  • News
  • Artikel
  • Seiten
  • Forum
  • Erweiterte Suche
  1. generation i
  2. Artikel
  3. News

Sicherheitslücke bei Apples "Hide My Email": Echte Adresse offenbar zu 100 % ermittelbar

  • Andy
  • 1. Juli 2026 um 16:04
  • 26 Mal gelesen
  • 9 Antworten
Apples Datenschutzfunktion "Hide My Email" soll eigentlich verhindern, dass Nutzer ihre echte E-Mail-Adresse preisgeben müssen, wenn sie sich irgendwo registrieren oder Formulare ausfüllen. Genau das steht nun infrage: Laut einem aktuellen Bericht lässt sich die dahinterliegende echte Adresse in praktisch allen getesteten Fällen ermitteln – obwohl das Feature genau davor schützen soll.
Inhaltsverzeichnis [VerbergenAnzeigen]
  1. Was ist passiert?
  2. Warum das relevant ist
  3. Was Apple bislang sagt
  4. Was Nutzer aktuell tun können

Was ist passiert?

Der Sicherheitsforscher Tyler Murphy, Mitgründer des Dienstes EasyOptOuts, hat die Schwachstelle entdeckt und bereits vor über einem Jahr an Apple gemeldet – inklusive einer Anleitung, wie sich das Problem reproduzieren lässt. Nach eigenen Angaben hat Apple die Lücke bislang jedoch nicht geschlossen.

Der zeitliche Ablauf laut Murphy:

  • Juni 2025: Meldung der Lücke an Apple, inklusive Reproduktionsschritten
  • März 2026: Apple sagt eine Behebung zu
  • Die zugesagte Behebung bleibt aus; Apple bittet Murphy, das Problem bis zur Lösung nicht öffentlich zu machen, und kündigt einen neuen Fix für Juni 2026 an
  • Auch dieser Termin verstreicht ohne sichtbare Korrektur

Weil sich der Fix über mehr als ein Jahr verzögert, hat sich Murphy entschieden, die Existenz der Lücke jetzt publik zu machen – allerdings ohne die konkrete technische Vorgehensweise offenzulegen, um einen Missbrauch nicht zu erleichtern. Auch 404 Media, die die Lücke unabhängig verifiziert haben, halten sich mit technischen Details bewusst zurück.

Warum das relevant ist

"Hide My Email" ist Teil von iCloud+ und erzeugt zufällige, wegwerfbare E-Mail-Adressen, die an das echte Postfach weiterleiten. Genutzt wird die Funktion vor allem, um bei Newslettern, Formularen oder weniger vertrauenswürdigen Diensten die eigene Identität zu schützen. Sollte sich die Zuordnung zur echten Adresse tatsächlich zuverlässig rekonstruieren lassen, wäre der zentrale Zweck der Funktion ausgehebelt.

Zusätzlichen Kontext liefert ein Vorfall aus dem März 2026: Apple hatte im Rahmen einer FBI-Ermittlung eine reale iCloud-Adresse herausgegeben, die zuvor über Hide My Email verschleiert war. Das zeigt zumindest, dass Apple selbst – wenn sie dazu gezwungen werden – Zugriff auf die Zuordnung hat. Ob und wie das mit der jetzt gemeldeten Lücke zusammenhängt, ist unklar; es handelt sich vermutlich um unterschiedliche Mechanismen.

Interessant ist auch das Timing: Apple hatte kürzlich angekündigt, für Hide My Email künftig auf eine neue Domain (private.icloud.com) umzustellen – eine Änderung, die teils kritisch gesehen wurde, weil sie es Unternehmen leichter machen könnte, Hide-My-Email-Adressen pauschal zu blockieren.

Was Apple bislang sagt

Eine offizielle Stellungnahme von Apple zu dieser konkreten Lücke liegt aktuell nicht vor.

Was Nutzer aktuell tun können

Da die genaue Exploit-Methode nicht öffentlich bekannt ist, besteht kein unmittelbarer Handlungsdruck im Sinne von „sofort etwas deaktivieren“. Wer Hide My Email jedoch gezielt einsetzt, um die eigene Identität bei sensiblen Diensten zu verschleiern, sollte im Hinterkopf behalten, dass die Adresse aktuell möglicherweise nicht so anonym ist wie gedacht – bis Apple reagiert, lässt sich das nicht abschließend beurteilen.

Wir beobachten die Situation und aktualisieren diesen Artikel, sobald Apple sich äußert oder ein Fix ausgerollt wird.

Quellen:
  • 9to5mac
    https://9to5mac.com/2026/07/01/app…-be-discovered/
  • MacTech
    https://www.mactech.com/2026/03/27/app…-email-feature/
  • Privacy Guides
    https://discuss.privacyguides.net/t/apple-hide-m…addresses/38930
  • 404media
    https://www.404media.co/apple-hide-my-…ries-newsletter

generation i - Deine Community für alles über Apple und Heimautomationen

Diskutiere mit uns im Forum! 9 Antworten, zuletzt: 1. Juli 2026 um 19:09

Über den Autor

Ich habe generation i mit ins Leben gerufen, um Technik mit Verstand zu begleiten.

Apple-Fan? Definitiv. Aber immer mit dem kritischen Blick eines Gründers, dem Substanz wichtiger ist als jeder Hype.
Ich sorge für den richtigen Rhythmus zwischen Innovation und echtem Nutzen.

Andy Team

Vorheriger Artikel Apple rollt zweite Beta-Runde für iOS 26.6, macOS Tahoe 26.6 und weitere Bestandssysteme aus

Antworten 9

senderversteller
1. Juli 2026 um 16:23

Hab die Funktion nie genutzt, da ich eigene Domains ohne Bedeutung/Zusammenhang zu meiner Familie und mir registriert habe und mit Catchall arbeite; um für jeden Dienst eine eigene individuelle Adresse zu „erzeugen“. Das erhöht außerdem die Login Sicherheit enorm, weil man zum Passwort auch den individuellen Login kennen muss.

Vielleicht nicht ganz so komfortabel wie das Apple System, aber es genügt meinen Ansprüchen an Anonymität; und es kann kein Lapsus, wie in dem Artikel beschrieben, entstehen.

Andy
1. Juli 2026 um 16:31

Du hast also z.B. generationi@senderversteller.de als Mail-Adresse hier und homeassistant@senderversteller.de bei verschiedenen Diensten als Mail-Adressen angegeben und Catch-All holt dann alle Mails ab?

Hatte ich so noch nicht auf dem Schirm... Kann man das Catch-All für eine Adresse konfigurieren? Ich mach mir z.B. registrierung@generation-i.de und dort landen dann alle Mails, außer die, die es wirklich gibt? Hab das noch nie angesehen oder so...

senderversteller
1. Juli 2026 um 17:32

Es läuft eher so, dass alles was vor dem @ steht (egal was) an eine bestimmte Adresse weitergeleitet wird… außer ich habe im Mailsystem einen expliziten Alias eingerichtet (z.B. generation-i@) und dafür eine Mailbox eingerichtet oder eine andere Weiterleitungsadresse definiert. Genauso kann ich bestimmte Namen dann quasi auf eine Blacklist setzen und die Mails werden dann „gedropt “ (ohne Rückmeldung) oder „rejected“ (mit Rückmeldung an den sendenden Server).

Wikipedia kannst das besser erklären als ich:
Catch-All – Wikipedia

So konnte ich schon einige Dienste ausfindig machen, die entweder meine Daten verkauft haben oder nicht vorsichtig genug damit umgegangen sind.

Holger
1. Juli 2026 um 18:09

Ist tatsächlich bei Google Mail standardmäßig ähnlich. Wenn du die Adresse "ichbineintollertyp@gmail.com" registrierst, landen auch alle Emails mit "ich.bineintollertyp@gmail.com" in deinem Posteingang. Egal wo du den Punkt hinsetzt und egal, wie viele Punkte du verwendest. Ist spaßig zu schauen, welcher Händler deine Adresse weiter verkauft. ;)

Andy
1. Juli 2026 um 18:16

Ich bin da zu nachlässig und hatte mir mal gedacht, ich fang an, bei allen mit + zu arbeiten…

senderversteller
1. Juli 2026 um 18:27

ich.sehe.unverschaemt.gut.aus.und.bineintollertyp@gmail.com

Das erinnert mich an meine Zeiten im IRCnet als wir aus Domain-Hacks wilde Hostnamen gezaubert haben und uns als coole Hacker gefühlt haben:

[18:23] *** senderversteller (senderversteller@we.are.b0rg.all.your.base.bel0ng.to.us) has joined #generation-i

Offtopic: Wer war noch im IRC unterwegs?

Holger
1. Juli 2026 um 18:30

ich! 🩼😂

daywalk3r666
1. Juli 2026 um 18:32

Ich

senderversteller
1. Juli 2026 um 19:09

Ich sag nur Netsplit und Channel Takeover und Eggdrop 😅

Kategorien

  1. KI / LLM 2
  2. Shortnews 7
  3. Android 2
  4. iOS-Apps 1
  5. Smarthome 5
  6. Smartlocks 1
  7. Netzwerk 2
  8. CarPlay 1
  9. Café 5
  10. Gerüchte 15
  11. Apple TV / tvOS 1
  12. Hardware 6
  13. Home Assistant 7
  14. iCloud 1
  15. Mac-Hardware 10
  16. iPad 2
  17. iPhone 2
  18. iOS 3
  19. Gedankenwelt 42
  20. News 63
  21. Sonstige News 22
  22. News über Apple 18
  23. 3D-Druck 3
  24. Filter zurücksetzen
Diskutiere mit uns im Forum! 9 Antworten, zuletzt: 1. Juli 2026 um 19:09
  1. generation i
  2. Artikel
  3. News
  1. Forenregeln
  2. Datenschutzerklärung
  3. Netiquette
  4. Kontakt
  5. Impressum
  6. Credits
Community-Software: WoltLab Suite™ 6.2.5