Apple-Sicherheitslücke, E-Mail-Alias

Apple-Sicherheitslücke: E-Mail-Alias vollständig zu knacken

02.07.2026 - 10:14:59 | boerse-global.de

Eine kritische Schwachstelle in Apples E-Mail-Alias-Funktion bleibt trotz monatelanger Kenntnis ungepatcht und gefährdet die Privatsphäre der Nutzer.

Apples iCloud+ Sicherheitslücke: E-Mail-Alias seit Monaten ungeschützt
Apple-Sicherheitslücke - Ein zerbrochenes digitales Schild-Symbol mit Rissen, die Teile einer E-Mail-Adresse oder persönlicher Daten enthüllen, im Vordergrund. 02.07.2026 - Bild: über boerse-global.de

Eine gravierende Sicherheitslücke in Apples Datenschutz-Funktion „E-Mail-Adresse verbergen“ gefährdet die Privatsphäre von iCloud+-Nutzern. Obwohl Apple das Problem seit über einem Jahr kennt, bleibt ein wirksamer Patch aus.

Vollständige Enttarnung trotz Alias

Die Funktion ist Teil des kostenpflichtigen iCloud+-Abonnements. Sie generiert zufällige E-Mail-Adressen für App-Anmeldungen und Web-Formulare. Die eigentliche Korrespondenz läuft über die echte Apple-ID-Adresse – ohne dass der Empfänger sie sieht. Doch dieser Schutz lässt sich komplett umgehen.

Der Sicherheitsforscher Tyler Murphy von EasyOptOuts entdeckte die Schwachstelle am 11. Juni 2025. Sie nutzt einen nicht authentifizierten Abfragepfad (Lookup-Pfad). Angreifer können damit die mit einem Alias verknüpfte Original-Adresse innerhalb weniger Minuten ermitteln. Tests zeigen eine Erfolgsquote von 100 Prozent bei untersuchten Alias-Adressen. Erweiterte Zugriffsrechte sind nicht nötig.

Apple vertröstet seit Monaten

Die Kommunikation zwischen Entdecker und Unternehmen zieht sich hin. Apple bestätigte das Problem im Juli 2025. Im März 2026 meldete der Konzern ein Korrektur-Update – doch erneute Prüfungen zeigten: Die Lücke besteht weiter.

Anzeige

Ob Ihr eigener iCloud+-Alias betroffen ist, zeigt dieser 3-Schritte-Check – inklusive DSGVO-Checkliste und Alternativ-Diensten. Jetzt kostenlosen Sicherheits-Check anfordern

Ende Mai 2026 kündigte Apple erneut einen Fix an. Eine Überprüfung am 30. Juni 2026 ergab: Die De-Anonymisierung war immer noch möglich. Murphy schlug vor, die Erstellung neuer Alias-Adressen vorübergehend zu stoppen. Apple setzte diesen Vorschlag nicht um.

Risiken für Aktivisten und Journalisten

Die anhaltende Schwachstelle birgt erhebliche Risiken. Betroffene Nutzer könnten Ziel gezielter Phishing-Angriffe werden. Ihre primären E-Mail-Adressen sind entgegen dem Produktversprechen für Dritte sichtbar. Besonders gefährdet sind Aktivisten oder Journalisten, die auf Anonymität angewiesen sind.

Experten weisen auf potenzielle DSGVO-Verstöße hin. Betroffen sind die Grundsätze des Datenschutzes durch Technikgestaltung (Artikel 25) sowie die Datenminimierung (Artikel 5). Unternehmen, die den Apple-Dienst nutzen, sollten die Verwendung inventarisieren und gegebenenfalls auf Alternativen wie SimpleLogin oder addy.io ausweichen.

Apple plant einen Wechsel der Domain für Alias-Adressen zu @private.icloud.com. Branchenbeobachter warnen: Dieser Schritt könnte lediglich die Blockierung solcher Adressen durch Webseiten-Betreiber erleichtern – ohne die zugrunde liegende Sicherheitslücke zu schließen. Ein endgültiges Sicherheitsupdate steht weiterhin aus.

de | wissenschaft | 69670980 |