Ein Dienst, der E-Mails verbirgt, sollte E-Mails verbergen – das sollte klar sein. Offenbar gelingt dies Apples „Hide My E-Mail“-Dienst alias „E-Mail-Adresse verbergen“ innerhalb von iCloud+ aber nicht. Es soll eine Sicherheitslücke geben, die ermöglicht, aus der versteckten E-Mail-Adresse wieder die echte zu machen. Das berichtet das investigative IT-Blog 404 Media, das sich auf einen detaillierten Bericht von EasyOptOuts stützt. Schlimmer noch: Apple soll seit mindestens einem Jahr über den Fehler informiert sein, hat ihn bislang aber noch nicht behoben. Genauere Details wurden bislang noch nicht veröffentlicht.

Methode soll mit allen Adressen funktionieren

Der Angriff konnte auch in dieser Woche noch durchgeführt werden, berichtet 404 Media, das die Möglichkeit mit einer eigenen versteckten E-Mail-Adresse durchexerziert hat. Entdeckt und an Apple gemeldet wurde das Sicherheitsloch vom Privacy-Dienst EasyOptOuts. Dessen Mitgründer Tyler Murphy sagte, er wisse nicht, warum Apple noch nicht tätig geworden ist. Das habe sich komisch angefühlt, weshalb das Unternehmen nach der langen Zeit nicht länger warten wollte und an die Öffentlichkeit ging.

Weder EasyOptOuts noch 404 Media veröffentlichten konkrete Details, wie der Angriff zu replizieren ist. EasyOptOuts hat dies gegenüber Apple aber genau beschrieben. „Hide My Email leakt E-Mail-Adressen, die versteckt sein sollten“, so Murphy. Ist die Originaladresse einmal vorhanden, könnten Angreifer über frei zugängliche Personendatenbanken weitere Informationen ermitteln – davor soll „E-Mail-Adresse verbergen“ eigentlich schützen.