Apples iCloud+-Funktion „E-Mail-Adresse verbergen“ erzeugt zufällige Alias-Adressen und leitet eingehende Nachrichten an Ihr eigentliches Postfach weiter. Genau bei dieser Funktion steckt laut dem Sicherheitsforscher Tyler Murphy auf iOS, iPadOS und macOS aber noch immer ein Problem drin, und zwar mehr als ein Jahr nach seiner Meldung im Juni 2025.
Sicherheitslücke verrät echte Adresse
Gedacht ist die Funktion als Puffer zwischen Ihnen und dem Rest des Internets: Sie bekommen zufällige Alias-Adressen, die Mails an Ihre echte Inbox weiterreichen. So können Sie sich bei Diensten, Newslettern oder Online-Shops anmelden, ohne jedes Mal Ihre private Hauptadresse herauszugeben. Nach Angaben von Tyler Murphy lässt sich unter bestimmten Umständen trotzdem die echte E-Mail-Adresse hinter so einem Alias herausfinden. Wie genau das funktioniert, hat er bisher nicht öffentlich gemacht, wohl auch damit die Lücke nicht sofort breit ausgenutzt wird.
Heikel ist auch, wie lange das Ganze schon offen im Raum steht. Murphy, Mitgründer von EasyOptOuts, meldete den Fehler nach eigener Aussage bereits im Juni 2025 an Apple. Seiner Darstellung nach hat Apple das Problem bestätigt und zwischenzeitlich sogar signalisiert, die Sache sei behoben. Offenbar stimmt das so nicht, denn die Schwachstelle besteht anscheinend auch mehr als ein Jahr später noch.
Große Reichweite bei iPhone-Nutzern
Die mögliche Reichweite ist ziemlich groß. Einer oft zitierten Erhebung aus dem Jahr 2023 zufolge hatten rund 55 Prozent der iOS-Mail-Nutzer die Funktion aktiviert. Betroffen sein könnte also ein erheblicher Teil der Apple-Community, gerade dann, wenn Sie Ihre Hauptadresse gezielt vor Datensammlern, Werbefirmen oder dubiosen Websites verstecken wollen.
Und es geht nicht bloß um Spam. Wenn eine eigentlich verborgene Adresse offengelegt wird, kann sie sich mit etwas Pech über frei zugängliche Personensuchdienste oder Datenbroker mit weiteren privaten Angaben verknüpfen lassen. Für Betroffene kann das schnell zu einem handfesten Sicherheitsproblem werden, etwa bei Stalking, Belästigung oder ganz allgemein beim Schutz der eigenen Identität im Netz.
Kritik an neuer Alias-Domain
Diskutiert wird außerdem eine geplante Änderung bei neuen „Hide My Email“-Adressen. Apple will neu erzeugte Aliasse künftig unter „@private.icloud.com“ vergeben und nicht mehr unter der üblichen „@icloud.com“-Domain. Kritiker befürchten, dass solche Adressen für Websites damit leichter als Alias zu erkennen sind und im Zweifelsfall eher geblockt werden.
Daneben zeigen separate Berichte, wo die grundsätzlichen Grenzen des Dienstes liegen. Demnach hat Apple bei rechtmäßigen Behördenanfragen offenbar Informationen zu „Hide My Email“-Nutzern herausgegeben. Die Funktion soll Privatsphäre stärken und Spam fernhalten, sie ist aber kein vollständiges Anonymisierungssystem gegenüber staatlichen Stellen.
Für Apple ist das ein unangenehmer Fall, weil Datenschutz und Privatsphäre seit Jahren zu den wichtigsten Marketingbotschaften des Konzerns zählen. Solange sich nicht klar nachweisen lässt, dass die Lücke geschlossen wurde, bleibt ausgerechnet bei einer der bekanntesten Apple-Datenschutzfunktionen ein dickes Fragezeichen.
Downloads: Download iCloud für Windows