Sicherheitsforscher haben aufgedeckt, dass es eine Sicherheitslücke in der Datenschutzfunktion „E-Mail-Adresse verbergen“ von Apples iCloud+ gibt, die es Angreifern ermöglicht, den Schutzmechanismus zu umgehen und an die echte E-Mail-Adresse des Benutzers zu gelangen. Die Sicherheitslücke besteht seit mehr als einem Jahr und Apple hat sie noch nicht behoben.

Diese Funktion soll es Benutzern ermöglichen, zufällige anonyme E-Mail-Adressen (z. B. [email protected]) zu generieren, um den echten E-Mail-Registrierungsdienst zu ersetzen, und alle weitergeleiteten E-Mails geben die echte Adresse nicht preis. Laut 404 Media haben der Forscher Tyler Murphy und sein Team diese Schwachstelle jedoch entdeckt und verifiziert: Im Test nutzten sie eine neu generierte versteckte E-Mail-Adresse zum Testen und konnten nach etwa fünf Minuten erfolgreich die damit verbundene echte iCloud-E-Mail-Adresse ermitteln.

Murphy meldete das Problem erstmals im Juni 2025 an Apple und Apple gab später an, eine Untersuchung durchzuführen. Im März dieses Jahres gab Apple an, dass die Schwachstelle „in den jüngsten Systemänderungen behoben“ worden sei, doch Murphy stellte fest, dass die Schwachstelle immer noch bestand, und meldete sie im Mai erneut. Apple antwortete, dass es noch Untersuchungen durchführe und plane, das Problem in einem zukünftigen Sicherheitsupdate zu beheben, habe aber noch keinen konkreten Zeitplan genannt. „Wir wissen nicht, warum es noch nicht behoben wurde, aber wir können nicht länger warten“, sagte Murphy. „Benutzer, die diese Funktion nutzen, haben ein Recht darauf zu erfahren, dass Angreifer möglicherweise ihre versteckten E-Mail-Adressen entdecken.“

Das Risiko dieser Sicherheitslücke besteht darin, dass öffentliche Websites zur „Menschenfleischsuche“ E-Mail-Adressen leicht mit anderen persönlichen Informationen verknüpfen können und Benutzer, die sich zum Schutz ihrer Privatsphäre auf „versteckte E-Mail-Adressen“ verlassen, möglicherweise gefährdet sind. Gleichzeitig hat Apple bereits Pläne angekündigt, den anonymen E-Mail-Domänennamen dieser Funktion von @icloud.com auf @private.icloud.com zu verschieben, was es Websites und Diensten erleichtert, anonyme E-Mail-Adressen zu identifizieren und zu blockieren, die durch „versteckte E-Mail-Adressen“ generiert werden, was die Wirkung des Schutzes der Privatsphäre weiter schwächt.