"Meine E-Mail verbergen" erlaubt Rückschluss auf Original-Adresse – seit über einem Jahr


E-Mail-Adressen sind ein begehrtes Gut im Netz – beinahe jeder Dienst fordert beim Anmelden eine valide und bestätigte Kontaktmöglichkeit. Ob man dem Anbieter vertrauen kann, dass er die Adresse nicht an Werbetreibende weitergibt, stellt sich allerdings erst viel später heraus. Für jeden Anbieter von Hand ein eigenes E-Mail-Alias einzurichten, offenbart sich schnell als zeitaufwendig – weshalb es um so besser scheint, dass Apple dafür einen eigenen Automatismus integriert: „Meine E-Mail verbergen“ erfindet für jedes Portal eine Adresse im Hintergrund und kümmert sich um die Verwaltung. Doch offenbar hat dieses System eine Lücke: Ein Privatisierungsanbieter kann belegen, dass sich zu jeder so anonymisierten Adresse das Original herausfinden lässt.
Der Entdecker wandte sich an
404 Media, um die Lücke in Apples Anonymisierungsdienst zu belegen. Die Journalisten erzeugten eine neue Adresse, welche sie Tyler Murphy mitteilten, dem Mitgründer des Privatsphärendienstleisters EasyOptOuts und Entdecker der Lücke. Nach fünf Minuten antwortete er mit der offiziellen Haupt-Adresse des verknüpften Haupt-Accounts.
Neue Adressen entstehen automatisch im Browser oder werden in den iCloud-Einstellungen verwaltet.
Seit einem Jahr nicht behobenMurphy wandte sich mit seiner Entdeckung an Apple. Der Konzern antwortete, dass man den Fehler untersuchen wolle. Das war im Juni 2025. Lange Zeit blieb es still. Doch im März meldeten sich Apples Entwickler mit der guten Nachricht, die entsprechenden Systeme seien angepasst worden, das Problem sei behoben. Murphy konnte dies nicht nachvollziehen – weiterhin war es ihm möglich, echte iCloud-Adressen zu ermitteln. Wieder nahm er Kontakt auf, wieder wurde eine Untersuchung angekündigt.
Weiterhin angepriesener Teil des BezahlabonnementsApple bittet den Entdecker wiederholt, nicht mit seiner Entdeckung an die Öffentlichkeit zu gehen, um die Sicherheit der Nutzer nicht zu gefährden. Im Mai versprechen Apples Entwickler eine Änderung „in den kommenden Wochen“. Nachdem über ein Jahr vergangen ist, hielt Murphy eine weitere Geheimhaltung für nicht mehr vertretbar. Gleichzeitig verriet er nicht im Detail, wie er die Adressen auskundschaftet. In der Zwischenzeit wirbt Apple durchgehend mit erweiterten Privatsphäre-Features für das Bezahlabonnement „iCloud+“.
Apple wirbt weiterhin mit dem Feature – obwohl dem Konzern die Sicherheitslücke bekannt ist. (Quelle:
iCloud)
Apple kündigt Wechsel der Domain anBereits vor einigen Wochen kündigte Apple in der Entwicklerdokumentation an, eine Änderung an den Anonymisierungsfunktionen
vorzunehmen: Die E-Mail-Adressen werden fortan unter der Domain „@private.icloud.com“ geführt; Bestandsadressen bleiben allerdings aktiv. Der Wechsel rief Kritik auf TechCrunch
hervor: Die geänderte Subdomain erleichtert es Anbietern, anonymisierte Adressen zu erkennen und zu sperren.