Blue Mail-App im Test: Nicht empfehlenswert

Logo Blue Mail

Im Test der Version 1.9.3 übertrug die App das Passwort und den Nutzernamen von einem eingebundenen GMX-Konto TLS-verschlüsselt an Server von Blue Mail. Dies ist extrem problematisch, weil der Dienst damit theoretisch vollständigen Zugriff auf das eigene Mail-Konto haben kann. Update: In Version 1.9.4.2 ist das Problem behoben.

Version
1.9.3.20
Betriebssystem
Android
App-Store- / Weblinks
Apple App Store (iOS)
Google Play (Android)
Weblink
Veröffentlicht am
Review Autor
Schlagworte
App-Test · E-Mail
Drucken

Was kann Blue Mail?

Es handelt sich um eine kostenlose E-Mail-App, verfügbar für Android und iOS. Man kann beliebig viele E-Mail-Konten von beliebigen Anbietern einbinden, zum Beispiel von GMX, Outlook, Hotmail etc.

Die App bietet viele zusätzliche Funktionen, wie Push-Nachrichten, Kalender und reichlich Möglichkeien zur Mail-Sortierung und Verwaltung.

Mit 5-10 Millionen Downloads im Play-Store ist sie eine durchaus häufig genutzte App, die auch mehrfach positiv von Technikmagazinen besprochen wurde, zum Beispiel bei connect oder Chip.

Anbieter ist die Blue Mail Inc. Gemeldet ist die Firma unter der Adresse Trident Chambers Road Town auf den Virgin Islands. In der Datenschutzerklärung ist mehrfach von „anderen Unternehmen der Gruppe“ die Rede. Wer noch zu dieser Gruppe gehört, ließ sich nur teilweise klären. Die E-Mail App „TypeApp“ gibt in ihrer Datenschutzerklärung an, zu Blue Mail Inc. zu gehören. Mit der Firma „Blue Mail Media Inc.“, welche E-Mail-Marketing anbietet, hat die Blue Mail Inc. nach eigenen Angaben nichts zu tun.

Unser Test im Überblick

Getestet haben wir die Version 1.9.3 in ihrer kostenlosen Variante, die wir aus Googles Play-Store heruntergeladen haben. Dieser Test gilt nicht für andere Versionen.

Wenn man ein E-Mail-Konto manuell in der App einbindet, zum Beispiel von GMX, überträgt die App das Passwort und den Nutzernamen an Server von Blue Mail. Die Übertragung ist TLS-Verschlüsselt. Für Sicherheit und Privatsphäre ist das trotzdem ein Totalschaden. Denn der Dienst hat damit vollständigen Zugriff auf das eigene Mail-Konto. Aber damit nicht genug: Die App überträgt auch die Absender-Adressen von Mails, die bereits im Postfach liegen.

Laut Datenschutzerklärung speichert der Dienst sogar temporär E-Mails auf den eigenen Servern zwischen. Wie diese dort verschlüsselt oder gesichert sind, erklärt der Anbieter nicht. Auch die Android-ID erfasst der Dienst – ohne ersichtlichen Grund. Alle erhobenen Informationen können mit Unternehmen der Gruppe geteilt werden – diese Gruppe wird aber nirgends näher beschrieben. Sowohl der wahre Unternehmenssitz als auch der eigentliche Besitzer der Blue Mail Inc. bleiben obskur.

Aus den genannten Gründen ist diese App – trotz ihres viel gelobten Funktionsumfanges – vollkommen inakzeptabel. Es gibt reichlich Alternativen, wir raten von der Nutzung daher ab.

Übermittelte Informationen im Überblick

  • Passwort und Nutzername des E-Mail-Kontos
  • Android-ID
  • E-Mail-Adressen aus E-Mails im Posteingang

Unsere Testergebnisse im Detail

Getestet haben wir die Version 1.9.3 in ihrer kostenlosen Variante, die wir aus Googles Play-Store heruntergeladen haben. Dieser Test gilt nicht für andere Versionen. Getestet wurde für die Android-Version 6.0.1.

Die technische Analyse führte Mike Kuketz durch.

Auf welche Daten kann die App zugreifen?

Die App fordert relativ viele Berechtigungen. Die kritischen Berechtigung „Telefonstatus und Identität“ sowie „Konten auf dem Gerät suchen“ können wir nicht nachvollziehen.

Mit einem Klick auf die Berechtigung erhalten Sie mehr Informationen aus unserer Checkliste App-Berechtigungen entschlüsselt.

Kalender

  • Ohne Wissen der Eigentümer Termine hinzufügen oder ändern
  • Kalendertermine und vertrauliche Informationen lesen

Kontakte

Speicher

Sonstiges

Wohin verbindet sich die App?

Die gesamte Kommunikation ist TLS-verschlüsselt. Auf zusätzliche Sicherheit durch Cert-Pinning verzichten die Hersteller.

Bluemail (Hauptdienst, mtu.bluemailapp.com): Man kann Blue Mail mit jedem beliebigem E-Mail-Konto verknüpfen, wenn es POP3/IMAP-fähig ist.

Bei der Anmeldung über ein bestehendens GMX-Konto überträgt die App folgende Informationen TLS-verschlüsselt an den Anbieter:

  • E-Mail-Adresse
  • Passwort
  • Android-ID
  • Geräte-Hersteller und Modell
  • Landeseinstellung
  • Mobilfunkanbieter (hier 02)
  • Mailserver (hier gmail.gmx.net) und Port
  • Eine einmalig in der App generierte ID
  • Detaillierte Android-Version

Beim Aufruf des Postfachs liest die App die E-Mail-Header von den E-Mails im Posteingang aus. Daraus extrahiert sie dann alle E-Mail-Adressen und sendet diese an Blue Mail. Also auch die E-Mail-Adressen derjenigen, die eine Mail geschickt haben. Das werten wir als extrem kritisch.

Die App erfasst dauerhaft, auch im Hintergrund, ob neue E-Mails da sind und wie viele E-Mails im Postfach liegen.

Hinweis: Es gibt Hinweise, dass Passwort und Nutzername nicht übertragen werden, wenn ein Gmail-Konto eingebunden wird.

Google GCM: Die App nutzt einen sehr weit verbreiteten Dienst von Google, über den Apps Push-Nachrichten versenden können. Es werden keine personenbeziehbaren Daten übermittelt.

Amazon: Die App nutzt einen Cloud-Dienst von Amazon. Es werden keine personenbeziehbaren Daten übermittelt.

Wie sicher speichert die App meine Daten?

Nach der Anmeldung an das GMX-Konto wird der Nutzername und das Passwort lokal in einer Datenbank abgelegt. Das Passwort wird dabei gehasht – auf den ersten Blick wird kein bekannter Hash-Algorithmus verwendet, sondern entweder ein selbst konstruierter oder wenig verbreiteter. Eine Aussage über die Sicherheit ist an dieser Stelle schwierig.

Was sagt die Datenschutzerklärung?

Die Datenschutzerklärung ist im Appstore verlinkt und nur auf Englisch verfügbar. In der Erklärung informiert Bluemail darüber, dass der Dienst das Passwort zu einem verknüpften Konto normalerweise nicht speichert. Wohl aber E-Mails aus dem Konto, E-Mail-Adressen aus dem Adressbuch und eindeutige Kennnummern wie die Android-ID. Auch die IP-Adresse wird ausgewertet.

Der Dienst behält sich vor, alle Informationen mit Partnern und Affiliates zu teilen. Wer die Partnerunternehmen sind, wird nicht genannt. Auch der Analyse-Dienst Mixpanel soll laut Datenschutzerklärung eingebunden sein und Informationen erhalten, obwohl wir ihn im Test nicht beobachtet haben.

Der Dienst behält sich vor, Marketing-Mails zu verschicken und weist auf Opt-out-Möglichkeit per Mail an privacy@bluemail.me hin.

Hinweis:
Die App TypeApp weist technisch große Ähnlichkeiten zur Blue Mail App auf. Sie übermittelt ebenfalls Nutzername und Passwort an die Betreiber. Inzwischen wurden weitere Apps entdeckt, die ähnlich vorgehen.


Mehr App-Tests auf mobilsicher.de

Sie haben einen Fehler entdeckt oder vermissen einen Artikel zu einem bestimmten Thema?
Schreiben Sie uns eine E-Mail an hinweis@mobilsicher.de!