Lücke in Apples Schutzfunktion
E-Mail-Adresse verbergen: Apples Alias-Schutz wackelt
Apples Funktion „E-Mail-Adresse verbergen“ steht erneut in der Kritik. Nach einem Bericht von 404 Media soll sich die echte E-Mail-Adresse hinter Apples zufällig erzeugten Alias-Adressen unter bestimmten Umständen ermitteln lassen. Die Details des Angriffs werden bewusst nicht veröffentlicht, weil das Problem laut Bericht weiterhin ausgenutzt werden kann.
Mit iCloud + und dem E-Mail-Schutz sollte man sich eigentlich sicher fühlen.
„E-Mail-Adresse verbergen“ ist Bestandteil von iCloud+ und soll Nutzern ermöglichen, bei Webseiten, Newslettern oder Apps nicht die eigene Adresse anzugeben. Stattdessen erzeugt Apple eine zufällige Adresse, die eingehende Nachrichten an das eigentliche Postfach weiterleitet. Apple beschreibt die Funktion selbst als Möglichkeit, die persönliche E-Mail-Adresse privat zu halten.
Genau dieses Versprechen steht nun infrage. Der Sicherheitsforscher Tyler Murphy von EasyOptOuts will Apple bereits vor mehr als einem Jahr über die Schwachstelle informiert haben. 404 Media gibt an, das Problem mit einer eigenen versteckten Adresse nachvollzogen zu haben. Auch Engadget greift den Bericht auf.
Alias statt Anonymität
Die Funktion war schon immer eher ein Schutz gegen Spam, Datenhändler und ungewollte Weitergabe der eigenen Adresse. Sie ersetzt keine vollständige Anonymisierung. Wer eine Alias-Adresse verwendet, verhindert normalerweise, dass ein Dienst sofort die echte Adresse sieht. Wenn sich diese Verbindung aber doch herstellen lässt, wird aus dem Schutzschild schnell nur noch ein Etikett.
Für viele Nutzer ist das ärgerlich, aber nicht dramatisch. Wer „E-Mail-Adresse verbergen“ vor allem nutzt, um Newsletter später leichter abzuschalten oder herauszufinden, wer die Adresse weitergegeben hat, kann die Funktion weiterhin sinnvoll einsetzen. Anders sieht es aus, wenn die echte Adresse aus Sicherheitsgründen verborgen bleiben muss.
Nicht für Hochrisiko-Fälle
Wir hatten erst im Frühjahr darüber berichtet, dass Apple Ermittlern die echte Adresse hinter einer versteckten E-Mail-Adresse nennen kann. Die neue Meldung zeigt nun eine andere Schwachstelle: Nicht nur Apple selbst kennt die Zuordnung, sie soll sich laut Bericht auch technisch ausnutzen lassen.
Bis Apple das Problem bestätigt oder behebt, sollten Nutzer die Funktion daher vorsichtiger einordnen. Für Anmeldungen, Rabattaktionen und weniger vertrauenswürdige Webseiten bleibt sie praktisch. Wer seine Identität aber wirklich schützen muss, sollte sich nicht allein auf Apples Weiterleitungsadressen verlassen, sondern getrennte Postfächer, eigene Aliase oder spezialisierte Dienste verwenden.
Apple hat sich zu dem Bericht bislang nicht öffentlich geäußert. In der iPhone-Einstellungen-App lassen sich bestehende Alias-Adressen unter „iCloud“ und „E-Mail-Adresse verbergen“ verwalten, deaktivieren oder auf eine andere Weiterleitungsadresse umstellen.


Bleibt für meinen Anwendungsfall gut genug.