Dieses Projekt wurde am 31.12.2024 beendet. Der Beitrag ist auf dem Stand des letzten Update-Datums und wird nicht mehr aktualisiert oder überprüft.
Ratgeber

Sicherheits-Desaster: Mail-Apps übertragen Passwörter

Ein Artikel von Miriam Ruhenstroth, veröffentlicht am 07.03.2018, bearbeitet am13.03.2018

In eine Mail-App kann man seine E-Mail-Konten einbinden, in dem digitalen Briefkasten finden sich dann alle Mails auf einen Blick. Unsere Tests ergaben: Die Apps Blue Mail, TypeApp und MyMail übermitteln die Zugangsdaten für die verknüpften Konten an ihre Hersteller. Das ist so unnötig wie skandalös.

Update (07.03): Ein Update der Blue Mail-App auf die Version 1.9.4 vom 6. März behob das Problem nicht. Am 7. März erfolgte ein weiteres Update, auf Version 1.9.4.1. Blue Mail hat uns gebeten, diese Version auch nochmal zu überprüfen.

Update (08.03): In der Nacht vom 7. auf den 8. März erfolgte ein weiteres Update der Blue Mail-App, auf Version 1.9.4.2. In dieser Version überträgt die App nun keine Passwörter und Nutzernamen mehr von einem verknüpften GMX-Konto. Weitere Kritikpunkte wurden noch nicht angegangen, zum Beispiel das Auslesen von Absender-E-Mail-Adressen. Wir warten noch auf ein Statement dazu.

Update (13.03): In einer früheren Version stand im Vorspann zu diesem Text, dass Passwörter im Klartext übermittelt würden. Dies ist nicht korrekt. Alle Zugangsdaten wurden stets TLS-verschlüsselt übermittelt.

Alles begann mit einem Test der E-Mail-App Blue Mail, die wir bei unserem Autor und App-Tester Mike Kuketz in Auftrag gegeben hatten. Das Ergebnis war schlimmer als erwartet:

Bindet man in diese App ein E-Mail-Konto manuell ein, zum Beispiel von GMX, so sendet die App das Passwort und den Nutzernamen zu diesem E-Mail-Konto an die Server von Blue Mail. Die Übertragung ist TLS-Verschlüsselt. Dennoch hat der Anbieter damit theoretisch vollen Zugriff auf das Mail-Konto.

Wer hinter der App steckt, und was sie sonst noch alles sendet, erfahren Sie im vollen Testbericht.

Für Datensicherheit und Privatsphäre ist das ein Sicherheitsdesaster – und offenbar kein Einzelfall. Durch den esten Test neugierig geworden, untersuchte Kuketz weitere Apps und fand eine ganze Liste, die genauso vorgehen, wie Blue Mail:

Seriöse Apps übertragen niemals den Nutzernamen oder das Passwort eines eingebundenen Accounts an den Hersteller. Streng genommen sollten sie überhaupt keine Nutzerinformationen an den Hersteller übermitteln, denn das ist für die Diensterbringung gar nicht nötig. Eine App, die diese Forderung erfüllt, ist zum Beispiel K9-Mail, die wir auf mobilsicher.de schon lange empfehlen.

Hinweis: Die Blue Mail-App überträgt die Zugangsdaten nicht, wenn ein Gmail-Konto eingebunden wird, wie uns der Autor von Caschys Blog informierte. Die Hersteller selbst haben inzwischen reagiert. Auf Twitter und in den Kommentaren des Play-Stores schreiben sie:

The information in the article is not true and misleading. We do not store emails or passwords as implied. BlueMail is a secure email client that communicates directly with email providers. BlueMail uses SSL & OAuth where applicable.

Per E-Mail haben die Hersteller eine Stellungnahme angekündigt, jedoch auf Anfrage keinerlei Erklärung für die beobachtete Datenübertragung geliefert. Auch ein Update vom 06.03.2018 auf die Version 1.9.4 gab nach erster Analyse von Kuketz keine Verbesserung, obwohl die Hersteller dazu schreiben:

...Secured app: we do not send passwords to our servers, or to any 3rd parties. Emails are not stored on our servers....

Passwort und Nutzername werden auch in dieser Version TLS-verschlüsselt an einen Server von Blue Mail übertragen.

Hintergrund: E-Mail-Apps

Wer E-Mails auf dem Smartphone nutzen will, hat verschiedene Möglichkeiten:

  • über eine Browser-App kann man sich auf der Webseite des E-Mail-Anbieters einloggen
  • man verwaltet seine E-Mails über die App des Anbieters
  • oder man nutzt ein Anbieter-offenes Mail-Programm, über das sich Postfächer verschiedener E-Mail-Provider verknüpfen lassen.

Die Grenze zwischen den Modellen ist nicht immer scharf. In einigen Apps von E-Mail-Anbietern lassen sich auch Postfächer anderer Mail-Provider einbinden. Das ist beispielsweise bei der Gmail-App möglich und auch auch bei der App von t-online.

Jedes Smartphone kommt ab Werk mit einer oder mehreren vorinstallierten E-Mail-Apps. Auf Android-Geräten ist das fast immer die Google-App Gmail, manchmal ist es eine App, die einfach nur „Mail“ heißt und deren Hersteller nicht erkennbar ist. Aber man muss diese vorinstallierten Apps nicht nutzen, es gibt dutzende Mail-Apps, mit denen man sie einfach ersetzen kann.

Bei mobilsicher.de haben wir schon lange vermutet, dass Mail-Apps – egal ob vorinstalliert oder nachträglich installiert – womöglich mehr Informationen an den Hersteller übermitteln als nötig. Dass es so grob kommt, hätten wir aber nicht erwartet.

Fazit: Bei der Auswahl der Mail-App sollte man sehr sorgfältig vorgehen und unbedingt genau prüfen, was man da benutzt. Man sollte weder den vorinstallierten Produkten noch irgendwelchen Mail-Apps aus dem Play-Store blind vertrauen.

Weitere Artikel

Ratgeber 

Plaudernde App-Listen: App-Spionage leicht gemacht

Jede Android-App kann sehen, welche anderen Apps auf einem Smartphone installiert sind. Bei iOS ist eine ähnliche Abfrage möglich. Diese Information kann sehr aussagekräftig sein und Privates offenbaren – wie die sexuelle Orientierung, die politische Ausrichtung oder die Religion einer Person.

Mehr
Ratgeber 

Apps aus Googles Play-Store aktualisieren

Wie für Software auf dem PC werden auch für Apps auf dem Smartphone oder Tablet regelmäßig Aktualisierungen angeboten. Für Apps aus Googles Play-Store gibt es dafür verschiedene Einstellungen. Je nach Geschmack – von vollautomatisch bis manuell.

Mehr
Ratgeber 

Samsung Kindermodus einrichten – so geht’s

Sie haben ein Samsung-Handy und wollen es ab und an Ihrem Kind in die Hand geben? Mit der Samsung-App „Kindermodus“ können Sie das Gerät so sichern, dass dabei kein Unglück passiert. Wir zeigen Schritt für Schritt, wie Sie die App einrichten.

Mehr
YouTube-Video 

iPhone: Standort mit Klopfen ausschalten

Apple macht es euch schwer, die Ortungsdienste an- und auszuschalten. Mit diesem Trick geht es kinderleicht und superschnell.

Ansehen