Eine Schwachstelle in Apples Hide My Email Funktion könnte es Angreifern ermöglichen, die echte E-Mail-Adresse hinter einem anonymen Alias zu entdecken und damit eines der wichtigsten Datenschutztools des Unternehmens zu untergraben, so Sicherheitsforscher und unabhängige Tests von 404 Media .
Hide My Email , verfügbar im Rahmen von Apples iCloud+-Abonnement, ermöglicht es Nutzern, zufällige E-Mail-Aliase zu erstellen, die Nachrichten an ihren primären Posteingang weiterleiten. Die Funktion soll verhindern, dass Websites, Apps und andere Dienste die echte E-Mail-Adresse eines Nutzers erfahren, während gleichzeitig Spam reduziert und die Online-Privatsphäre geschützt wird.
Das Problem wurde von Tyler Murphy, Mitbegründer des Datenschutzunternehmens EasyOptOuts, entdeckt, der die Schwachstelle im Juni 2025 bei Apple meldete. Murphy sagte, Apple habe den Bericht anerkannt und angedeutet, dass er angegangen werde, aber mehr als ein Jahr später sei der Fehler weiterhin ausnutzbar.
Um ein größeres Risiko für Nutzer zu vermeiden, veröffentlichte 404 Media keine technischen Details zur Schwachstelle. Das Medium überprüfte die Ergebnisse jedoch unabhängig, indem es einen neuen Hide My Email Alias erstellte und Murphy zur Verfügung stellte, der die echte E-Mail-Adresse mit dem Apple-Konto in etwa fünf Minuten identifizieren konnte.
“Wir kennen das volle Ausmaß des Problems nicht, aber in unseren begrenzten Tests mit Freiwilligen waren 100 % der Hide My Email Adressen ausnutzbar”, sagte Murphy gegenüber 404 Media. Er fügte hinzu, dass öffentlich zugängliche Personensuchdienste die Schwachstelle noch gefährlicher machen könnten, indem sie es Angreifern erlauben, eine offengelegte E-Mail-Adresse mit anderen persönlichen Informationen zu verknüpfen.
Laut Murphy informierte Apple ihn zunächst im März 2026, dass das Problem gelöst sei. Nach erneuten Tests stellte er jedoch fest, dass die Schwachstelle weiterhin funktionierte, und lieferte Apple zusätzliche Beweise. In anschließenden Kommunikationen teilte Apple Berichten zufolge mit, dass die Untersuchung weiterhin durchgeführt wird und eine Lösung in einem zukünftigen Sicherheitsupdate veröffentlicht wird. Bis diese Woche wurde kein Patch veröffentlicht.
Die Offenlegung erfolgt, während Apple eine weitere Änderung vorbereitet Hide My Email . Das Unternehmen plant, alle generierten Aliase auf die @private.icloud.com-Domain zu migrieren und damit die aktuelle Mischung aus @icloud.com- und @privaterelay.appleid.com-Adressen zu ersetzen. Einige Datenschutzbefürworter haben gewarnt, dass Websites die neue Domain einfach blockieren könnten, was die Nützlichkeit der Funktion verringert, selbst wenn die Schwachstelle letztlich behoben wird.
Für Nutzer, die darauf angewiesen Hide My Email sind, ihre Identität von Online-Konten zu trennen, könnte dieser Fehler erhebliche Datenschutzauswirkungen haben. Das Offenlegen einer echten E-Mail-Adresse kann es Angreifern ermöglichen, Konten über mehrere Dienste hinweg zu korrelieren, Phishing-Kampagnen zu ermöglichen oder zusätzliche persönliche Informationen über öffentliche Datenbanken zu entdecken.
Apple hat keine technischen Details des Problems öffentlich gemacht oder angekündigt, wann eine Lösung verfügbar sein wird. Bis die Schwachstelle behoben ist, empfehlen Sicherheitsforscher, sie als zusätzliche Datenschutzschicht und nicht als Anonymitätsgarantie zu behandeln Hide My Email , insbesondere beim Schutz sensibler Identitäten.