Eine Apple Hide My Email-Schwachstelle könnte es Angreifern ermöglichen, die echten E-Mail-Adressen von Nutzern aufzudecken. Das berichtet ein Sicherheitsforscher, der erklärt, dass Apple das Problem auch mehr als ein Jahr nach der ersten Meldung noch nicht vollständig behoben hat. Obwohl das Unternehmen zuvor behauptete, die Schwachstelle beseitigt zu haben, sind Nutzer seiner Ansicht nach weiterhin gefährdet.

Sicherheitsforscher entdeckt Schwachstelle

Apple entwickelte Hide My Email, um die echten E-Mail-Adressen seiner Nutzer zu schützen. Die Funktion erstellt eindeutige E-Mail-Aliasse, die Nachrichten an das primäre Postfach des Nutzers weiterleiten. Dadurch können sich Nutzer bei Websites, Newslettern und Onlinediensten registrieren, ohne ihre echte E-Mail-Adresse preiszugeben.

Der Sicherheitsforscher Tyler Murphy, Mitgründer von EasyOptOuts, entdeckte jedoch eine Schwachstelle, durch die sich die echte E-Mail-Adresse hinter einem solchen Alias aufdecken lässt.

Murphy meldete den Fehler an Apple und wartete mehr als ein Jahr auf eine dauerhafte Lösung. Nach wiederholten Verzögerungen entschied er sich schließlich, die Schwachstelle öffentlich zu machen, da er ein weiteres Abwarten nicht mehr für vertretbar hielt.

Apple bestätigte den Bericht, doch die Schwachstelle besteht weiter

Murphy kontaktierte Apple erstmals im Juni 2025, worauf das Unternehmen bestätigte, den Bericht zu prüfen.

Im März 2026 teilte Apple Murphy mit, dass eine kürzlich eingeführte Systemänderung das Problem behoben habe.

Murphy testete die Funktion jedoch weiter und stellte fest, dass die Schwachstelle weiterhin vorhanden war. Apple untersuchte das Problem bis Mai weiter und bat Murphy gleichzeitig, keine Details zu veröffentlichen, solange die Untersuchungen liefen.

Auch das Technikportal 404 Media bestätigte die Schwachstelle, verzichtete jedoch darauf, technische Einzelheiten zu veröffentlichen, die von Angreifern ausgenutzt werden könnten, solange Apple weiterhin an einer Lösung arbeitete.

Apple plant weiteres Sicherheitsupdate

Nach weiteren Gesprächen mit Murphy erklärte Apple Berichten zufolge, die Schwachstelle stattdessen mit einem zukünftigen Sicherheitsupdate beheben zu wollen.

Zum Zeitpunkt der Veröffentlichung des Berichts hatte Apple jedoch noch immer keine vollständige Lösung bereitgestellt, obwohl das Unternehmen zuvor erklärt hatte, das Problem bereits behoben zu haben.

Die anhaltende Verzögerung wirft daher neue Fragen zur Zuverlässigkeit einer der wichtigsten Datenschutzfunktionen von Apple auf.

Geplante Domain-Änderung könnte Kompatibilitätsprobleme verursachen

Apple plant außerdem, seine E-Mail-Datenschutzdienste zu vereinheitlichen. Dafür sollen sowohl Hide My Email als auch Sign in with Apple künftig die neue Subdomain @private.icloud.com verwenden.

Derzeit nutzt das Unternehmen für diese Dienste die Domains @icloud.com und @privaterelay.appleid.com.

Die Änderung soll das System vereinheitlichen, könnte jedoch neue Probleme verursachen. Einige Websites und Onlinedienste könnten E-Mail-Adressen mit der neuen Domain ablehnen, wodurch die Datenschutzfunktion im Alltag an Nutzen verlieren könnte.

Nutzer sollten sich nicht vollständig auf die Funktion verlassen

Die anhaltende Apple Hide My Email-Schwachstelle zeigt, dass Datenschutzfunktionen kontinuierliche Sicherheitsprüfungen und zeitnahe Updates benötigen, um wirksam zu bleiben. Apple hat das Problem zwar bestätigt und weitere Aktualisierungen angekündigt. Murphys Untersuchungen deuten jedoch darauf hin, dass Hide My Email die echten E-Mail-Adressen der Nutzer noch immer nicht in jeder Situation zuverlässig verbirgt. Bis Apple eine dauerhafte Lösung veröffentlicht, sollten Nutzer die Funktion daher als zusätzliche Datenschutzmaßnahme und nicht als vollständigen Schutz betrachten.


0 Kommentare zu „Schwachstelle in Apple Hide My Email gibt weiterhin echte E-Mail-Adressen preis“