Apple-Sicherheitslücke: 5 Minuten bis zur echten E-Mail-Adresse
01.07.2026 - 17:57:10 | boerse-global.de
Eine kritische Sicherheitslücke in Apples „Hide My Email“-Dienst gefährdet weiterhin die Privatsphäre der Nutzer – obwohl der Konzern bereits vor über einem Jahr informiert wurde. Die Funktion, die eigentlich E-Mail-Adressen verschleiern soll, gibt nach wie vor die echten Kontaktdaten preis.
Schwachstelle im Kern der Privatsphäre-Funktion
„Hide My Email“ ermöglicht iCloud+-Abonnenten, zufällige E-Mail-Adressen zu generieren, die Nachrichten an das persönliche Postfach weiterleiten. So sollen Websites und Apps die wahre Identität der Nutzer nicht erkennen können. Doch aktuelle Untersuchungen zeigen: 100 Prozent der getesteten „Hide My Email“-Adressen lassen sich mit dem primären iCloud-Konto verknüpfen.
Die Enttarnung geht erschreckend schnell. In Tests gelang es, aus einer generierten Adresse in nur fünf Minuten die echte E-Mail-Adresse des Nutzers zu ermitteln. Das untergräbt den eigentlichen Zweck des Dienstes, der als Schutz vor Tracking und zur Wahrung der Anonymität beworben wird.
Chronologie einer verspäteten Reparatur
Der Sicherheitsforscher Tyler Murphy von EasyOptOuts entdeckte die Schwachstelle bereits im Juni 2025 und meldete sie Apple. Trotz der frühen Warnung blieb das Problem über mehrere Software-Updates hinweg bestehen.
Im März 2026 räumte Apple die Sicherheitslücke ein und versprach einen Fix. Nachfolgende Tests zeigten jedoch: Der Fehler war weiterhin aktiv. Im Mai 2026 kündigte Apple dann ein Sicherheitsupdate für die kommenden Wochen an. Doch bis heute, am 1. Juli 2026, ist die Schwachstelle nicht vollständig behoben. Der Dienst gibt weiterhin echte Nutzerdaten preis.
Die Sicherheitslücke in „Hide My Email“ gibt Ihre echte Adresse preis – in nur 5 Minuten. Dieser Leitfaden zeigt Ihnen, wie Sie sich sofort schützen. Jetzt kostenlosen Schutz-Leitfaden anfordern
Apple plant offenbar, das Problem durch eine Umstellung auf eine neue Subdomain zu lösen: künftig sollen die Adressen auf @private.icloud.com enden. Branchenbeobachter warnen jedoch, dass Drittanbieter die neue Domain möglicherweise blockieren könnten, wenn sie sich als typisch für anonyme Konten etabliert.
Weitere Sicherheitsrisiken bei drahtloser Datenübertragung
Neben der „Hide My Email“-Lücke haben Forscher des CISPA sechs weitere Schwachstellen in den drahtlosen Übertragungsprotokollen von Apple und Android entdeckt. Betroffen sind rund 2,2 Milliarden Apple-Geräte und 3 Milliarden Android-Geräte.
Bei AirDrop fanden die Forscher drei Schwachstellen, die den „sharingd“-Prozess zum Absturz bringen können. Das deaktiviert Funktionen wie AirDrop, AirPlay und Handoff. Ein Angreifer muss sich dafür lediglich in einer Entfernung von 10 bis 30 Metern zu einem Gerät befinden, das für den Empfang von allen eingestellt ist.
AirDrop und Quick Share gefährden Ihre Privatsphäre – 2,2 Milliarden Apple-Geräte betroffen. Erfahren Sie, wie Sie die drahtlosen Schnittstellen sicher konfigurieren. AirDrop-Sicherheits-Checkliste jetzt sichern
Apple hat eine dieser AirDrop-Lücken inzwischen geschlossen und mit einer offiziellen Kennung versehen. Die anderen beiden sind noch nicht behoben. Parallel dazu identifizierten die Forscher drei Fehler in Googles Quick Share (ehemals Nearby Share), darunter eine Umgehung der Verschlüsselung und einen Speicherfehler im Windows-Client. Google hat eine Belohnung für die Entdeckung gezahlt und einen Fix für die Windows-spezifische Schwachstelle veröffentlicht.
Sicherheitsexperten empfehlen Nutzern, AirDrop und Quick Share auf „Nur Kontakte“ zu stellen oder die Funktionen ganz zu deaktivieren, wenn sie nicht benötigt werden.
