iCloud+: „E-Mail-Adresse verbergen“-Lücke bleibt seit über einem Jahr offen

Apples iCloud+-Funktion „E-Mail-Adresse verbergen“ erzeugt zufällige Alias-Adressen und leitet eingehende Nachrichten an Ihr eigentliches Postfach weiter. Genau bei dieser Funktion steckt laut dem Sicherheitsforscher Tyler Murphy auf iOS, iPadOS und macOS aber noch immer ein Problem drin, und zwar mehr als ein Jahr nach seiner Meldung im Juni 2025.

Sicherheitslücke verrät echte Adresse

Gedacht ist die Funktion als Puffer zwischen Ihnen und dem Rest des Internets: Sie bekommen zufällige Alias-Adressen, die Mails an Ihre echte Inbox weiterreichen. So können Sie sich bei Diensten, Newslettern oder Online-Shops anmelden, ohne jedes Mal Ihre private Hauptadresse herauszugeben. Nach Angaben von Tyler Murphy lässt sich unter bestimmten Umständen trotzdem die echte E-Mail-Adresse hinter so einem Alias herausfinden. Wie genau das funktioniert, hat er bisher nicht öffentlich gemacht, wohl auch damit die Lücke nicht sofort breit ausgenutzt wird.

Heikel ist auch, wie lange das Ganze schon offen im Raum steht. Murphy, Mitgründer von EasyOptOuts, meldete den Fehler nach eigener Aussage bereits im Juni 2025 an Apple. Seiner Darstellung nach hat Apple das Problem bestätigt und zwischenzeitlich sogar signalisiert, die Sache sei behoben. Offenbar stimmt das so nicht, denn die Schwachstelle besteht anscheinend auch mehr als ein Jahr später noch.

Große Reichweite bei iPhone-Nutzern

Die mögliche Reichweite ist ziemlich groß. Einer oft zitierten Erhebung aus dem Jahr 2023 zufolge hatten rund 55 Prozent der iOS-Mail-Nutzer die Funktion aktiviert. Betroffen sein könnte also ein erheblicher Teil der Apple-Community, gerade dann, wenn Sie Ihre Hauptadresse gezielt vor Datensammlern, Werbefirmen oder dubiosen Websites verstecken wollen.

Und es geht nicht bloß um Spam. Wenn eine eigentlich verborgene Adresse offengelegt wird, kann sie sich mit etwas Pech über frei zugängliche Personensuchdienste oder Datenbroker mit weiteren privaten Angaben verknüpfen lassen. Für Betroffene kann das schnell zu einem handfesten Sicherheitsproblem werden, etwa bei Stalking, Belästigung oder ganz allgemein beim Schutz der eigenen Identität im Netz.

Kritik an neuer Alias-Domain

Diskutiert wird außerdem eine geplante Änderung bei neuen „Hide My Email“-Adressen. Apple will neu erzeugte Aliasse künftig unter „@private.icloud.com“ vergeben und nicht mehr unter der üblichen „@icloud.com“-Domain. Kritiker befürchten, dass solche Adressen für Websites damit leichter als Alias zu erkennen sind und im Zweifelsfall eher geblockt werden.

Daneben zeigen separate Berichte, wo die grundsätzlichen Grenzen des Dienstes liegen. Demnach hat Apple bei rechtmäßigen Behördenanfragen offenbar Informationen zu „Hide My Email“-Nutzern herausgegeben. Die Funktion soll Privatsphäre stärken und Spam fernhalten, sie ist aber kein vollständiges Anonymisierungssystem gegenüber staatlichen Stellen.

Für Apple ist das ein unangenehmer Fall, weil Datenschutz und Privatsphäre seit Jahren zu den wichtigsten Marketingbotschaften des Konzerns zählen. Solange sich nicht klar nachweisen lässt, dass die Lücke geschlossen wurde, bleibt ausgerechnet bei einer der bekanntesten Apple-Datenschutzfunktionen ein dickes Fragezeichen.

Downloads: Download iCloud für Windows

Author: Chema Carvajal Sarabia

{ "de-DE": "Journalist, spezialisiert auf Technologie, Unterhaltung und Videospiele. Über das zu schreiben, was mich begeistert (Gadgets, Spiele und Filme), ermöglicht es mir, bei Verstand zu bleiben und mit einem Lächeln im Gesicht aufzuwachen, wenn der Wecker klingelt. PS: Das stimmt nicht 100% der Zeit.", "en-US": "Journalist specialized in technology, entertainment and video games. Writing about what I'm passionate about (gadgets, games and movies) allows me to stay sane and wake up with a smile on my face when the alarm clock goes off. PS: this is not true 100% of the time.", "es-ES": "Content Manager - Periodista especializado en tecnología, entretenimiento y videojuegos. Escribir sobre lo que me apasiona (cacharros, juegos y cine) me permite seguir cuerdo y despertarme con una sonrisa cuando suena el despertador. PD: esto no es cierto el 100 % de las veces.", "fr-FR": "Journaliste spécialisé dans la technologie, le divertissement et les jeux vidéo. Écrire sur ce qui me passionne (gadgets, jeux et films) me permet de rester sain d'esprit et de me réveiller avec le sourire aux lèvres quand le réveil sonne. PS : cela n'est pas vrai 100 % du temps.", "it-IT": "Giornalista specializzato in tecnologia, intrattenimento e videogiochi. Scrivere di ciò che mi appassiona (gadget, giochi e film) mi permette di mantenere la sanità mentale e di svegliarmi con un sorriso sul viso quando suona la sveglia. PS: questo non è vero al 100% del tempo.", "ja-JP": "", "nl-NL": "", "pl-PL": "", "pt-BR": "Jornalista especializado em tecnologia, entretenimento e videogames. Escrever sobre o que me apaixona (gadgets, jogos e filmes) me permite manter a sanidade e acordar com um sorriso no rosto quando o despertador toca. PS: isso não é verdade 100% do tempo.", "social": { "email": "chemacs91@gmail.com", "facebook": "", "twitter": "https://twitter.com/chematopetazo", "linkedin": "" } }