Sicherheitslücke bei Apples "Hide My Email": Echte Adresse offenbar zu 100 % ermittelbar
-
Andy -
1. Juli 2026 um 16:04 -
26 Mal gelesen -
9 Antworten
Was ist passiert?
Der Sicherheitsforscher Tyler Murphy, Mitgründer des Dienstes EasyOptOuts, hat die Schwachstelle entdeckt und bereits vor über einem Jahr an Apple gemeldet – inklusive einer Anleitung, wie sich das Problem reproduzieren lässt. Nach eigenen Angaben hat Apple die Lücke bislang jedoch nicht geschlossen.
Der zeitliche Ablauf laut Murphy:
- Juni 2025: Meldung der Lücke an Apple, inklusive Reproduktionsschritten
- März 2026: Apple sagt eine Behebung zu
- Die zugesagte Behebung bleibt aus; Apple bittet Murphy, das Problem bis zur Lösung nicht öffentlich zu machen, und kündigt einen neuen Fix für Juni 2026 an
- Auch dieser Termin verstreicht ohne sichtbare Korrektur
Weil sich der Fix über mehr als ein Jahr verzögert, hat sich Murphy entschieden, die Existenz der Lücke jetzt publik zu machen – allerdings ohne die konkrete technische Vorgehensweise offenzulegen, um einen Missbrauch nicht zu erleichtern. Auch 404 Media, die die Lücke unabhängig verifiziert haben, halten sich mit technischen Details bewusst zurück.
Warum das relevant ist
"Hide My Email" ist Teil von iCloud+ und erzeugt zufällige, wegwerfbare E-Mail-Adressen, die an das echte Postfach weiterleiten. Genutzt wird die Funktion vor allem, um bei Newslettern, Formularen oder weniger vertrauenswürdigen Diensten die eigene Identität zu schützen. Sollte sich die Zuordnung zur echten Adresse tatsächlich zuverlässig rekonstruieren lassen, wäre der zentrale Zweck der Funktion ausgehebelt.
Zusätzlichen Kontext liefert ein Vorfall aus dem März 2026: Apple hatte im Rahmen einer FBI-Ermittlung eine reale iCloud-Adresse herausgegeben, die zuvor über Hide My Email verschleiert war. Das zeigt zumindest, dass Apple selbst – wenn sie dazu gezwungen werden – Zugriff auf die Zuordnung hat. Ob und wie das mit der jetzt gemeldeten Lücke zusammenhängt, ist unklar; es handelt sich vermutlich um unterschiedliche Mechanismen.
Interessant ist auch das Timing: Apple hatte kürzlich angekündigt, für Hide My Email künftig auf eine neue Domain (private.icloud.com) umzustellen – eine Änderung, die teils kritisch gesehen wurde, weil sie es Unternehmen leichter machen könnte, Hide-My-Email-Adressen pauschal zu blockieren.
Was Apple bislang sagt
Eine offizielle Stellungnahme von Apple zu dieser konkreten Lücke liegt aktuell nicht vor.
Was Nutzer aktuell tun können
Da die genaue Exploit-Methode nicht öffentlich bekannt ist, besteht kein unmittelbarer Handlungsdruck im Sinne von „sofort etwas deaktivieren“. Wer Hide My Email jedoch gezielt einsetzt, um die eigene Identität bei sensiblen Diensten zu verschleiern, sollte im Hinterkopf behalten, dass die Adresse aktuell möglicherweise nicht so anonym ist wie gedacht – bis Apple reagiert, lässt sich das nicht abschließend beurteilen.
Wir beobachten die Situation und aktualisieren diesen Artikel, sobald Apple sich äußert oder ein Fix ausgerollt wird.
Quellen:
generation i - Deine Community für alles über Apple und Heimautomationen
Über den Autor
Ich habe generation i mit ins Leben gerufen, um Technik mit Verstand zu begleiten.
Apple-Fan? Definitiv. Aber immer mit dem kritischen Blick eines Gründers, dem Substanz wichtiger ist als jeder Hype.
Ich sorge für den richtigen Rhythmus zwischen Innovation und echtem Nutzen.
Antworten 9