Eine Funktion, die eigentlich die echte E-Mail-Adresse schützen soll, tut offenbar das Gegenteil. Ein Fehler in Apples „E-Mail-Adresse verbergen“ erlaubt es fast jedem, die verborgene Adresse hinter einem Alias aufzudecken – und Apple lässt das Problem seit über einem Jahr ungelöst.
„E-Mail-Adresse verbergen“ ist eine Funktion des kostenpflichtigen iCloud+-Abos, die zufällige Alias-Adressen erzeugt und Nachrichten an das eigentliche Postfach weiterleitet. Gedacht ist die Funktion vor allem für Registrierungen und den Kontakt mit Drittanbietern – sie soll die echte Adresse vor Spam, Datenlecks und ungewollter Identifizierung abschirmen. Genau dieses Schutzversprechen ist nun ins Wanken geraten: Sicherheitsforscher haben eine Schwachstelle nachgewiesen, mit der sich die reale Adresse hinter einem solchen Alias ermitteln lässt. Besonders brisant ist nicht nur der Fehler selbst, sondern der Umgang damit – denn Apple wurde bereits vor mehr als einem Jahr darüber informiert.
Was die Lücke ermöglicht
Im Kern hebelt die Schwachstelle den eigentlichen Zweck der Funktion aus: Statt anonym zu bleiben, lässt sich die dahinterliegende echte Adresse aufdecken. Wie gravierend das Problem ist, zeigt der Umfang – in Tests mit Freiwilligen erwiesen sich sämtliche geprüften Alias-Adressen als angreifbar, also 100 Prozent.
Die technischen Details der Lücke werden bewusst zurückgehalten, weil sie weiterhin aktiv ausnutzbar ist. Verifiziert wurde das Problem in dieser Woche unabhängig anhand einer eigenen, über die Funktion erzeugten Adresse. Dass ein Datenschutz-Feature auf diese Weise umgangen werden kann, wiegt umso schwerer, als sich viele Nutzer gerade wegen dieses Versprechens darauf verlassen (via 404Media).
Ein Jahr ohne Lösung
Entdeckt und verantwortungsvoll gemeldet wurde die Schwachstelle vom Sicherheitsforscher Tyler Murphy, Mitgründer des Dienstes EasyOptOuts. Bereits im Juni 2025 informierte er Apple – inklusive einer Anleitung, wie sich das Problem reproduzieren lässt. Apple bestätigte den Eingang einen Monat später und erklärte, man untersuche den Fall.
Danach zog sich der Vorgang über Monate. Im März 2026 teilte Apple dem Forscher mit, man habe das gemeldete Problem mit einer kürzlichen Systemänderung behoben – tatsächlich war die Lücke jedoch weiterhin offen. Murphy lieferte weitere Informationen, woraufhin Apple erneut mitteilte, man untersuche die Sache noch immer. Im Mai wiederholte sich das Muster: Apple bat darum, die Schwachstelle bis zum Abschluss der Prüfung nicht öffentlich zu machen. Murphys Vorschlag, die Erstellung neuer Alias-Adressen vorübergehend auszusetzen, um das Risiko für Kunden zu begrenzen, blieb offenbar ohne Folgen. Ende Mai kündigte Apple schließlich an, das Problem mit einem in den kommenden Wochen erwarteten Sicherheitsupdate beheben zu wollen.
Nach über einem Jahr ohne Fix entschied sich der Forscher gegen weiteres Abwarten. Nach seiner Darstellung verdienten es die Nutzer zu erfahren, dass Angreifer möglicherweise in der Lage sind, ihre eigentlich verborgenen Adressen zu ermitteln.
Warum das für Betroffene heikel ist
Die eigentliche Gefahr liegt weniger in der aufgedeckten Adresse allein als in dem, was sich daraus ableiten lässt. Zahlreiche frei zugängliche Personen-Suchdatenbanken erlauben es, eine E-Mail-Adresse mit weiteren persönlichen Details zu verknüpfen. Wer sich aus Sicherheitsgründen auf „E-Mail-Adresse verbergen“ verlässt – etwa um seine Identität zu schützen -, könnte dadurch stärker exponiert sein als angenommen.
Dabei gilt die Funktion zu Recht als eine der wirksamsten Methoden, die echte E-Mail-Adresse im Alltag zu schützen, indem für jeden Dienst eine eigene Wegwerf-Adresse genutzt wird. Genau dieses Vertrauensverhältnis stellt die Schwachstelle infrage. Erschwerend kommt hinzu, dass Apple die Alias-Adressen zuletzt auf eine eigene Domain namens „private.icloud.com“ umgestellt hat – ein Schritt, der es Plattformen ungewollt erleichtert, iCloud-Aliase gezielt zu blockieren.
Ein Datenschutz-Feature unter Druck
Der Fall trifft Apple an einer empfindlichen Stelle, denn Datenschutz ist seit Jahren ein zentrales Verkaufsargument des Konzerns. Eine Funktion, die genau dieses Versprechen einlösen soll, über mehr als ein Jahr angreifbar zu lassen, passt schlecht zu diesem Anspruch. Bis das angekündigte Sicherheitsupdate erscheint und die Lücke nachweislich schließt, bleibt die Situation für alle unbefriedigend, die sich auf den Schutz durch „E-Mail-Adresse verbergen“ verlassen. Ob der versprochene Fix diesmal hält, wird sich erst zeigen müssen – schließlich hatte Apple eine Behebung bereits einmal gemeldet, ohne dass das Problem tatsächlich gelöst war. (Bild: Apple)
- iOS 26.6 rückt näher: Wann Apple das Update bringt
- Claude Fable 5 kehrt zurück: USA heben Exportsperre auf
- Tim Cook sucht mit der EU einen Weg für Siri AI
- Anthropic stellt Claude Sonnet 5 vor
- Apple Creator Studio bekommt ein großes KI-Update
- Supreme Court nimmt Apples Berufung im Epic-Streit an
- Netflix verlangt eigene E-Mail für jedes Profil
- Großbritannien will Apples App Store nach EU-Vorbild öffnen
- Drei AirDrop-Lücken entdeckt – Apple bessert nach
- Geleakte iPhone-18-Pro-Videos verschwinden wieder
- Apple zieht Sicherheitsupdates wegen KI-Bedrohung vor
- OpenClaw bringt seinen KI-Agenten als App aufs iPhone
- iPhone-18-Pro-Falltests tauchen im Dark Web auf
- iOS 26.5.2, iPadOS 26.5.2 und macOS 26.5.2 sind da
- iOS 26.6 Beta 3: Apple nähert sich dem Abschluss
- WhatsApp: Usernamen lassen sich ab jetzt reservieren
- Apple übernimmt das preisgekrönte Design-Tool Play
- Indien-Kartellverfahren: Apple wirft der Behörde Abschreiben vor
- Apple und chinesischer Speicher: Die Freigabe dürfte schwerfallen
- Apple wirbt um Freigabe für chinesischen Speicher
- USA geben Claude Mythos 5 teilweise frei



