// HEISE ONLINE — MOBILE & WEB
Fehler in „E-Mail-Adresse verbergen“ von Apple weiter ohne Fix
„Hide my E-Mail“ oder „E-Mail-Adresse verbergen“ soll eigentlich User vor Spam und Co. schützen. Es gibt aber eine Lücke. Die Entdecker warten weiter auf Apple.
Ein Dienst, der E-Mails verbirgt, sollte E-Mails verbergen – das sollte klar sein. Offenbar gelingt dies Apples „Hide My E-Mail“-Dienst alias „E-Mail-Adresse verbergen“ innerhalb von iCloud+ aber nicht. Es soll eine Sicherheitslücke geben, die ermöglicht, aus der versteckten E-Mail-Adresse wieder die echte zu machen. Das berichtet das investigative IT-Blog 404 Media, das sich auf einen detaillierten Bericht von EasyOptOuts stützt. Schlimmer noch: Apple soll seit mindestens einem Jahr über den Fehler informiert sein, hat ihn bislang aber noch nicht behoben. Genauere Details wurden bislang noch nicht veröffentlicht.
Der Angriff konnte auch in dieser Woche noch durchgeführt werden, berichtet 404 Media, das die Möglichkeit mit einer eigenen versteckten E-Mail-Adresse durchexerziert hat. Entdeckt und an Apple gemeldet wurde das Sicherheitsloch vom Privacy-Dienst EasyOptOuts. Dessen Mitgründer Tyler Murphy sagte, er wisse nicht, warum Apple noch nicht tätig geworden ist. Das habe sich komisch angefühlt, weshalb das Unternehmen nach der langen Zeit nicht länger warten wollte und an die Öffentlichkeit ging.
Weder EasyOptOuts noch 404 Media veröffentlichten konkrete Details, wie der Angriff zu replizieren ist. EasyOptOuts hat dies gegenüber Apple aber genau beschrieben. „Hide My Email leakt E-Mail-Adressen, die versteckt sein sollten“, so Murphy. Ist die Originaladresse einmal vorhanden, könnten Angreifer über frei zugängliche Personendatenbanken weitere Informationen ermitteln – davor soll „E-Mail-Adresse verbergen“ eigentlich schützen.
Es ist unklar, ob alle versteckten Adressen angreifbar sind, Murphy zufolge gelang es aber mit 100 Prozent aller getesteten. Apple wurde das Problem im Juni 2025 mitgeteilt. Im März teilte Apple den Entdeckern dann mit, es habe bei einer Systemumstellung einen Fix gegeben. Dem war aber nicht so. Nach einem weiteren Hin und Her hieß es von Apple, man werde sich das Problem ansehen. Bis mindestens Mai lief die Untersuchung weiter. Damals bat Apple EasyOptOuts auch, Stillschweigen zu bewahren. Ende Mai hieß es dann, der Fix komme „in den kommenden Wochen“. Getan habe sich bislang nichts, so Murphy gegenüber 404 Media. Am 30. Juni 2026 behauptete Apple erneut, das Problem sei behoben – EasyOptOuts verifizierte jedoch, dass die Lücke weiterhin offen ist. Apple kommentierte den Bericht nicht.
Zuletzt hatte es Kritik an einer von Apple angepeilten Änderung bei „Meine E-Mail verbergen“ gegeben: Das Unternehmen plant eine einheitliche, leicht zu identifizierende Domain für diese Accounts. Damit ließen sie sich von Diensten und Websites wesentlich leichter wegfiltern beziehungsweise sperren, was unschön wäre. Weiterhin wurde bekannt, dass Apple Namen von Besitzern von solchen Accounts auch an Polizeibehörden weitergibt. „E-Mail-Adresse verbergen“ ist Teil des Abodienstes iCloud+, der mit mehr Speicherplatz mindestens 99 Cent im Monat kostet.
Mit Ihrer Zustimmung wird hier ein externer Preisvergleich (heise Preisvergleich) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden.
Damit können personenbezogene Daten an Drittplattformen (heise Preisvergleich) übermittelt werden.
Mehr dazu in unserer
Datenschutzerklärung.
Mac & i informiert Sie im täglichen Newsletter über alles Wichtige rund um Mac, iPhone und Apple Watch.
Ausführliche Informationen zum Versandverfahren und zu Ihren
Widerrufsmöglichkeiten erhalten Sie in unserer
Datenschutzerklärung.