Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

"Meine E-Mail verbergen" erlaubt Rückschluss auf Original-Adresse – seit über einem Jahr

E-Mail-Adressen sind ein begehrtes Gut im Netz – beinahe jeder Dienst fordert beim Anmelden eine valide und bestätigte Kontaktmöglichkeit. Ob man dem Anbieter vertrauen kann, dass er die Adresse nicht an Werbetreibende weitergibt, stellt sich allerdings erst viel später heraus. Für jeden Anbieter von Hand ein eigenes E-Mail-Alias einzurichten, offenbart sich schnell als zeitaufwendig – weshalb es um so besser scheint, dass Apple dafür einen eigenen Automatismus integriert: „Meine E-Mail verbergen“ erfindet für jedes Portal eine Adresse im Hintergrund und kümmert sich um die Verwaltung. Doch offenbar hat dieses System eine Lücke: Ein Privatisierungsanbieter kann belegen, dass sich zu jeder so anonymisierten Adresse das Original herausfinden lässt.


Der Entdecker wandte sich an 404 Media, um die Lücke in Apples Anonymisierungsdienst zu belegen. Die Journalisten erzeugten eine neue Adresse, welche sie Tyler Murphy mitteilten, dem Mitgründer des Privatsphärendienstleisters EasyOptOuts und Entdecker der Lücke. Nach fünf Minuten antwortete er mit der offiziellen Haupt-Adresse des verknüpften Haupt-Accounts.

Neue Adressen entstehen automatisch im Browser oder werden in den iCloud-Einstellungen verwaltet.

Seit einem Jahr nicht behoben
Murphy wandte sich mit seiner Entdeckung an Apple. Der Konzern antwortete, dass man den Fehler untersuchen wolle. Das war im Juni 2025. Lange Zeit blieb es still. Doch im März meldeten sich Apples Entwickler mit der guten Nachricht, die entsprechenden Systeme seien angepasst worden, das Problem sei behoben. Murphy konnte dies nicht nachvollziehen – weiterhin war es ihm möglich, echte iCloud-Adressen zu ermitteln. Wieder nahm er Kontakt auf, wieder wurde eine Untersuchung angekündigt.

Weiterhin angepriesener Teil des Bezahlabonnements
Apple bittet den Entdecker wiederholt, nicht mit seiner Entdeckung an die Öffentlichkeit zu gehen, um die Sicherheit der Nutzer nicht zu gefährden. Im Mai versprechen Apples Entwickler eine Änderung „in den kommenden Wochen“. Nachdem über ein Jahr vergangen ist, hielt Murphy eine weitere Geheimhaltung für nicht mehr vertretbar. Gleichzeitig verriet er nicht im Detail, wie er die Adressen auskundschaftet. In der Zwischenzeit wirbt Apple durchgehend mit erweiterten Privatsphäre-Features für das Bezahlabonnement „iCloud+“.

Apple wirbt weiterhin mit dem Feature – obwohl dem Konzern die Sicherheitslücke bekannt ist. (Quelle: iCloud)

Apple kündigt Wechsel der Domain an
Bereits vor einigen Wochen kündigte Apple in der Entwicklerdokumentation an, eine Änderung an den Anonymisierungsfunktionen vorzunehmen: Die E-Mail-Adressen werden fortan unter der Domain „@private.icloud.com“ geführt; Bestandsadressen bleiben allerdings aktiv. Der Wechsel rief Kritik auf TechCrunch hervor: Die geänderte Subdomain erleichtert es Anbietern, anonymisierte Adressen zu erkennen und zu sperren.

Kommentare

System 6.0.1
System 6.0.101.07.26 17:16
😵‍💫
„A lot of times, people don't know what they want until you show it to them.“ Steve Jobs, 1998
0
gritsch01.07.26 18:02
Man fragt sich schon was die bei Apple teilweise so treiben.
+3

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.