Beveiligingsonderzoekers hebben onthuld dat er een beveiligingsfout zit in de privacybeschermingsfunctie "e-mailadres verbergen" van Apple's iCloud+, waardoor aanvallers het beveiligingsmechanisme kunnen omzeilen en het echte e-mailadres van de gebruiker kunnen achterhalen. Het beveiligingslek bestaat al meer dan een jaar en Apple heeft het nog niet opgelost.
Deze functie zou gebruikers in staat moeten stellen willekeurige anonieme e-mailadressen te genereren (zoals [email protected]) om de echte e-mailregistratieservice te vervangen, en alle doorgestuurde e-mails zullen het echte adres niet onthullen. Volgens 404 Media hebben onderzoeker Tyler Murphy en zijn team deze kwetsbaarheid echter ontdekt en geverifieerd: in de test gebruikten ze een nieuw gegenereerd verborgen e-mailadres om te testen, en na ongeveer vijf minuten ontdekten ze met succes het echte iCloud-e-mailadres dat eraan gekoppeld was.
Murphy rapporteerde het probleem voor het eerst aan Apple in juni 2025, en Apple zei later dat het onderzoek deed. In maart van dit jaar zei Apple dat het "was opgelost in recente systeemwijzigingen", maar Murphy ontdekte dat de kwetsbaarheid nog steeds bestond en meldde dit in mei opnieuw. Apple antwoordde dat het nog steeds onderzoek doet en van plan is dit in een toekomstige beveiligingsupdate op te lossen, maar nog geen specifiek tijdschema heeft gegeven. "We weten niet waarom het nog niet is opgelost, maar we kunnen niet langer wachten", zei Murphy. "Gebruikers die deze functie gebruiken, hebben het recht om te weten dat aanvallers hun verborgen e-mailadressen kunnen ontdekken."
Het risico van dit beveiligingslek is dat openbare websites voor het zoeken naar menselijk vlees gemakkelijk e-mailadressen kunnen associëren met andere persoonlijke informatie, en dat gebruikers die vertrouwen op "verborgen e-mailadressen" om hun privacy te beschermen mogelijk gevaar lopen. Tegelijkertijd heeft Apple eerder plannen aangekondigd om de anonieme e-maildomeinnaam van deze functie te verplaatsen van @icloud.com naar @private.icloud.com, waardoor het voor websites en diensten gemakkelijker wordt om anonieme e-mailadressen te identificeren en te blokkeren die zijn gegenereerd door "verborgen e-mailadressen", waardoor het effect op de privacybescherming verder wordt verzwakt.
