Ratgeber

Sicherheits-Desaster: Mail-Apps übertragen Passwörter

Ein Artikel von , veröffentlicht am 07.03.2018, bearbeitet am13.03.2018

In eine Mail-App kann man seine E-Mail-Konten einbinden, in dem digitalen Briefkasten finden sich dann alle Mails auf einen Blick. Unsere Tests ergaben: Die Apps Blue Mail, TypeApp und MyMail übermitteln die Zugangsdaten für die verknüpften Konten an ihre Hersteller. Das ist so unnötig wie skandalös.

Update (07.03): Ein Update der Blue Mail-App auf die Version 1.9.4 vom 6. März behob das Problem nicht. Am 7. März erfolgte ein weiteres Update, auf Version 1.9.4.1. Blue Mail hat uns gebeten, diese Version auch nochmal zu überprüfen.

Update (08.03): In der Nacht vom 7. auf den 8. März erfolgte ein weiteres Update der Blue Mail-App, auf Version 1.9.4.2. In dieser Version überträgt die App nun keine Passwörter und Nutzernamen mehr von einem verknüpften GMX-Konto. Weitere Kritikpunkte wurden noch nicht angegangen, zum Beispiel das Auslesen von Absender-E-Mail-Adressen. Wir warten noch auf ein Statement dazu.

Update (13.03): In einer früheren Version stand im Vorspann zu diesem Text, dass Passwörter im Klartext übermittelt würden. Dies ist nicht korrekt. Alle Zugangsdaten wurden stets TLS-verschlüsselt übermittelt.

Alles begann mit einem Test der E-Mail-App Blue Mail, die wir bei unserem Autor und App-Tester Mike Kuketz in Auftrag gegeben hatten. Das Ergebnis war schlimmer als erwartet:

Bindet man in diese App ein E-Mail-Konto manuell ein, zum Beispiel von GMX, so sendet die App das Passwort und den Nutzernamen zu diesem E-Mail-Konto an die Server von Blue Mail. Die Übertragung ist TLS-Verschlüsselt. Dennoch hat der Anbieter damit theoretisch vollen Zugriff auf das Mail-Konto.

Wer hinter der App steckt, und was sie sonst noch alles sendet, erfahren Sie im vollen Testbericht.

Für Datensicherheit und Privatsphäre ist das ein Sicherheitsdesaster – und offenbar kein Einzelfall. Durch den esten Test neugierig geworden, untersuchte Kuketz weitere Apps und fand eine ganze Liste, die genauso vorgehen, wie Blue Mail:

Seriöse Apps übertragen niemals den Nutzernamen oder das Passwort eines eingebundenen Accounts an den Hersteller. Streng genommen sollten sie überhaupt keine Nutzerinformationen an den Hersteller übermitteln, denn das ist für die Diensterbringung gar nicht nötig. Eine App, die diese Forderung erfüllt, ist zum Beispiel K9-Mail, die wir auf mobilsicher.de schon lange empfehlen.

Hinweis: Die Blue Mail-App überträgt die Zugangsdaten nicht, wenn ein Gmail-Konto eingebunden wird, wie uns der Autor von Caschys Blog informierte. Die Hersteller selbst haben inzwischen reagiert. Auf Twitter und in den Kommentaren des Play-Stores schreiben sie:

The information in the article is not true and misleading. We do not store emails or passwords as implied. BlueMail is a secure email client that communicates directly with email providers. BlueMail uses SSL & OAuth where applicable.

Per E-Mail haben die Hersteller eine Stellungnahme angekündigt, jedoch auf Anfrage keinerlei Erklärung für die beobachtete Datenübertragung geliefert. Auch ein Update vom 06.03.2018 auf die Version 1.9.4 gab nach erster Analyse von Kuketz keine Verbesserung, obwohl die Hersteller dazu schreiben:

...Secured app: we do not send passwords to our servers, or to any 3rd parties. Emails are not stored on our servers....

Passwort und Nutzername werden auch in dieser Version TLS-verschlüsselt an einen Server von Blue Mail übertragen.

Hintergrund: E-Mail-Apps

Wer E-Mails auf dem Smartphone nutzen will, hat verschiedene Möglichkeiten:

  • über eine Browser-App kann man sich auf der Webseite des E-Mail-Anbieters einloggen
  • man verwaltet seine E-Mails über die App des Anbieters
  • oder man nutzt ein Anbieter-offenes Mail-Programm, über das sich Postfächer verschiedener E-Mail-Provider verknüpfen lassen.

Die Grenze zwischen den Modellen ist nicht immer scharf. In einigen Apps von E-Mail-Anbietern lassen sich auch Postfächer anderer Mail-Provider einbinden. Das ist beispielsweise bei der Gmail-App möglich und auch auch bei der App von t-online.

Jedes Smartphone kommt ab Werk mit einer oder mehreren vorinstallierten E-Mail-Apps. Auf Android-Geräten ist das fast immer die Google-App Gmail, manchmal ist es eine App, die einfach nur „Mail“ heißt und deren Hersteller nicht erkennbar ist. Aber man muss diese vorinstallierten Apps nicht nutzen, es gibt dutzende Mail-Apps, mit denen man sie einfach ersetzen kann.

Bei mobilsicher.de haben wir schon lange vermutet, dass Mail-Apps – egal ob vorinstalliert oder nachträglich installiert – womöglich mehr Informationen an den Hersteller übermitteln als nötig. Dass es so grob kommt, hätten wir aber nicht erwartet.

Fazit: Bei der Auswahl der Mail-App sollte man sehr sorgfältig vorgehen und unbedingt genau prüfen, was man da benutzt. Man sollte weder den vorinstallierten Produkten noch irgendwelchen Mail-Apps aus dem Play-Store blind vertrauen.

Artikel drucken:

Beitrag teilen:

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0x2F021121044527DC

PGP Public Key

Download als .asc

Fingerprint

BC80 45E0 3110 EA00 A880 0827 2F02 1121 0445 27DC

Miriam Ruhenstroth

Begleitet mobilsicher.de seit der Gründung – zuerst als freie Autorin, dann als Redakteurin. Seit Januar 2017 leitet sie das Projekt, das 2020 um den AppChecker erweitert wurde. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

YouTube-Video 

Android-Handy verloren? So finden Sie es wieder

Wenn Sie Ihr Handy verlegt haben, können Sie es ganz leicht selbst orten. Dazu müssen Sie die Funktion "Mein Gerät finden" aktivieren und sich in Ihr Google-Konto einloggen. Wie das Orten genau funktioniert und was Sie aus der Ferne sonst noch unternehmen können, erklären wir im Video.

Ansehen Ratgeber 

Ratgeber: So surfen Sie anonym mit Tor (Android)

Wer im Internet surft, hinterlässt Spuren. Das Anonymisierungsnetzwerk Tor kann helfen, diese zu verschleiern. Wie Sie den Tor-Browser auf Ihrem Android-Gerät installieren und nutzen können, erklären wir hier Schritt für Schritt.

Mehr Ratgeber 

So löschen Sie Ihre Standortdaten bei Google

Google hat neue Funktionen angekündigt, mit denen NutzerInnen die beim IT-Konzern gespeicherten eigenen Daten automatisch löschen lassen können. Bis es soweit ist, muss man diesen Schritt noch von Hand vornehmen. Wie Sie die Löschoption für die Standortdaten finden, zeigen wir hier in einfachen Schritten.

Mehr Ratgeber 

Werbe-ID: So funktioniert das Nummernschild fürs Smartphone

Jedes Smartphone besitzt eine Art Nummernschild, das Werbung in Apps für Nutzer*innen personalisiert. Wir erklären, wie die Werbe-ID funktioniert und was Sie tun können, um das Tracking zu beschränken.

Mehr

Kontakt

Institut für Technik und Journalismus e.V.
Linienstraße 13
10178 Berlin

redaktion@mobilsicher.de

Lizenz

Wenn nicht anders gekennzeichnet, stehen alle Inhalte dieser Website unter der Lizenz Creative Commons Namensnennung-Keine Bearbeitung 3.0 Deutschland.

Förderung

Gefördert durch: Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz aufgrund eines Beschlusses des Deutschen Bundestages

Träger

Impressum Datenschutz