Ratgeber

Blue Mail-App im Test: Nicht empfehlenswert

Ein Artikel von , veröffentlicht am 07.03.2018

Im Test der Version 1.9.3 übertrug die App das Passwort und den Nutzernamen von einem eingebundenen GMX-Konto TLS-verschlüsselt an Server von Blue Mail. Dies ist extrem problematisch, weil der Dienst damit theoretisch vollständigen Zugriff auf das eigene Mail-Konto haben kann. Update: In Version 1.9.4.2 ist das Problem behoben.

Was kann Blue Mail?

Es handelt sich um eine kostenlose E-Mail-App, verfügbar für Android und iOS. Man kann beliebig viele E-Mail-Konten von beliebigen Anbietern einbinden, zum Beispiel von GMX, Outlook, Hotmail etc.

Die App bietet viele zusätzliche Funktionen, wie Push-Nachrichten, Kalender und reichlich Möglichkeien zur Mail-Sortierung und Verwaltung.

Mit 5-10 Millionen Downloads im Play-Store ist sie eine durchaus häufig genutzte App, die auch mehrfach positiv von Technikmagazinen besprochen wurde, zum Beispiel bei connect oder Chip.

Anbieter ist die Blue Mail Inc. Gemeldet ist die Firma unter der Adresse Trident Chambers Road Town auf den Virgin Islands. In der Datenschutzerklärung ist mehrfach von „anderen Unternehmen der Gruppe“ die Rede. Wer noch zu dieser Gruppe gehört, ließ sich nur teilweise klären. Die E-Mail App „TypeApp“ gibt in ihrer Datenschutzerklärung an, zu Blue Mail Inc. zu gehören. Mit der Firma "Blue Mail Media Inc.", welche E-Mail-Marketing anbietet, hat die Blue Mail Inc. nach eigenen Angaben nichts zu tun.

Unser Test im Überblick

Getestet haben wir die Version 1.9.3 in ihrer kostenlosen Variante, die wir aus Googles Play-Store heruntergeladen haben. Dieser Test gilt nicht für andere Versionen.

Wenn man ein E-Mail-Konto manuell in der App einbindet, zum Beispiel von GMX, überträgt die App das Passwort und den Nutzernamen an Server von Blue Mail. Die Übertragung ist TLS-Verschlüsselt. Für Sicherheit und Privatsphäre ist das trotzdem ein Totalschaden. Denn der Dienst hat damit vollständigen Zugriff auf das eigene Mail-Konto. Aber damit nicht genug: Die App überträgt auch die Absender-Adressen von Mails, die bereits im Postfach liegen.

Laut Datenschutzerklärung speichert der Dienst sogar temporär E-Mails auf den eigenen Servern zwischen. Wie diese dort verschlüsselt oder gesichert sind, erklärt der Anbieter nicht. Auch die Android-ID erfasst der Dienst – ohne ersichtlichen Grund. Alle erhobenen Informationen können mit Unternehmen der Gruppe geteilt werden – diese Gruppe wird aber nirgends näher beschrieben. Sowohl der wahre Unternehmenssitz als auch der eigentliche Besitzer der Blue Mail Inc. bleiben obskur.

Aus den genannten Gründen ist diese App – trotz ihres viel gelobten Funktionsumfanges – vollkommen inakzeptabel. Es gibt reichlich Alternativen, wir raten von der Nutzung daher ab.

Übermittelte Informationen im Überblick

  • Passwort und Nutzername des E-Mail-Kontos
  • Android-ID
  • E-Mail-Adressen aus E-Mails im Posteingang

Unsere Testergebnisse im Detail

Getestet haben wir die Version 1.9.3 in ihrer kostenlosen Variante, die wir aus Googles Play-Store heruntergeladen haben. Dieser Test gilt nicht für andere Versionen. Getestet wurde für die Android-Version 6.0.1.

Die technische Analyse führte Mike Kuketz durch.

Auf welche Daten kann die App zugreifen?

Die App fordert relativ viele Berechtigungen. Die kritischen Berechtigung „Telefonstatus und Identität“ sowie „Konten auf dem Gerät suchen“ können wir nicht nachvollziehen.

Mit einem Klick auf die Berechtigung erhalten Sie mehr Informationen aus unserer Checkliste App-Berechtigungen entschlüsselt.

Kalender

  • Ohne Wissen der Eigentümer Termine hinzufügen oder ändern
  • Kalendertermine und vertrauliche Informationen lesen

Kontakte

Speicher

Sonstiges

Wie Sie Zugriffsrechte von Apps einschränken, erfahren Sie hier: Zugriffsrechte: Was darf meine App? 

Wohin verbindet sich die App?

Die gesamte Kommunikation ist TLS-verschlüsselt. Auf zusätzliche Sicherheit durch Cert-Pinning verzichten die Hersteller.

Was TLS und was Cert-Pinning ist, erklären wir in unserem Beitrag SSL/TLS: Fragen und Antworten.

Bluemail (Hauptdienst, mtu.bluemailapp.com): Man kann Blue Mail mit jedem beliebigem E-Mail-Konto verknüpfen, wenn es POP3/IMAP-fähig ist.

Bei der Anmeldung über ein bestehendens GMX-Konto überträgt die App folgende Informationen TLS-verschlüsselt an den Anbieter:

  • E-Mail-Adresse
  • Passwort
  • Android-ID
  • Geräte-Hersteller und Modell
  • Landeseinstellung
  • Mobilfunkanbieter (hier 02)
  • Mailserver (hier gmail.gmx.net) und Port
  • Eine einmalig in der App generierte ID
  • Detaillierte Android-Version

Beim Aufruf des Postfachs liest die App die E-Mail-Header von den E-Mails im Posteingang aus. Daraus extrahiert sie dann alle E-Mail-Adressen und sendet diese an Blue Mail. Also auch die E-Mail-Adressen derjenigen, die eine Mail geschickt haben. Das werten wir als extrem kritisch.

Die App erfasst dauerhaft, auch im Hintergrund, ob neue E-Mails da sind und wie viele E-Mails im Postfach liegen.

Hinweis: Es gibt Hinweise, dass Passwort und Nutzername nicht übertragen werden, wenn ein Gmail-Konto eingebunden wird.

Google GCM: Die App nutzt einen sehr weit verbreiteten Dienst von Google, über den Apps Push-Nachrichten versenden können. Es werden keine personenbeziehbaren Daten übermittelt.

Amazon: Die App nutzt einen Cloud-Dienst von Amazon. Es werden keine personenbeziehbaren Daten übermittelt.

Wie sicher speichert die App meine Daten?

Nach der Anmeldung an das GMX-Konto wird der Nutzername und das Passwort lokal in einer Datenbank abgelegt. Das Passwort wird dabei gehasht – auf den ersten Blick wird kein bekannter Hash-Algorithmus verwendet, sondern entweder ein selbst konstruierter oder wenig verbreiteter. Eine Aussage über die Sicherheit ist an dieser Stelle schwierig.

Was sagt die Datenschutzerklärung?

Die Datenschutzerklärung ist im Appstore verlinkt und nur auf Englisch verfügbar. In der Erklärung informiert Bluemail darüber, dass der Dienst das Passwort zu einem verknüpften Konto normalerweise nicht speichert. Wohl aber E-Mails aus dem Konto, E-Mail-Adressen aus dem Adressbuch und eindeutige Kennnummern wie die Android-ID. Auch die IP-Adresse wird ausgewertet.

Der Dienst behält sich vor, alle Informationen mit Partnern und Affiliates zu teilen. Wer die Partnerunternehmen sind, wird nicht genannt. Auch der Analyse-Dienst Mixpanel soll laut Datenschutzerklärung eingebunden sein und Informationen erhalten, obwohl wir ihn im Test nicht beobachtet haben.

Der Dienst behält sich vor, Marketing-Mails zu verschicken und weist auf Opt-out-Möglichkeit per Mail an privacy@bluemail.me hin.

Hinweis: Die App TypeApp weist technisch große Ähnlichkeiten zur Blue Mail App auf. Sie übermittelt ebenfalls Nutzername und Passwort an die Betreiber. Inzwischen wurden weitere Apps entdeckt, die ähnlich vorgehen.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0xAC27FCDCF277F1E4

Fingerprint

E479 C1CD 0FC9 E373 A4B3 F5DB AC27 FCDC F277 F1E4

Miriam Ruhenstroth

Projektleiterin. Miriam Ruhenstroth hat mobilsicher.de seit Beginn des Projektes begleitet – zuerst als freie Autorin, später als Redakteurin. Seit Januar 2017 leitet sie das Projekt. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Ratgeber 

Sensoren im Smartphone geben Daten preis

Jedes neuere Smartphone besitzt verschiedene Messfühler. Diese Sensoren ermitteln zum Beispiel, wie das Handy gehalten wird, in welcher Höhe es sich befindet und vieles mehr. In Kombination lassen diese Messdaten weitreichende Rückschlüsse auf eine Person zu.

Mehr
Betrug und Phishing 

Falsche Systemmeldungen als Trick erkennen

Wenn der Akku fast leer, der Speicher voll oder ein Update da ist, schickt das Mobilgerät eine Benachrichtigung. Kriminelle nutzen das aus, indem sie gefälschte Systemmeldungen auf Mobilgeräten platzieren. Solche Betrugsversuche sind zum Glück leicht zu erkennen.

Mehr
YouTube-Video 

Das eigene iPhone für den Verlustfall sichern

Ein geklautes iPhone kann vom Dieb mit dem "Recovery-Modus" in den Werkszustand zurückgesetzt und damit weiter verwendet werden. Es sei denn, Sie haben die Funktion "Mein iPhone/iPad suchen" eingeschalten. Wie das geht und worauf Sie achten müssen, sehen Sie hier.

Ansehen
Körper und Gesundheit 

Gesundheits-Apps: Ein weites Feld

Gesundheits- und Wellness-Apps verzeichnen einen Boom. Doch viele versprechen mehr, als sie halten können. Gesundheitsdaten sind begehrt. Daher stellen manche Apps eher ein Datenschutz-Fiasko dar.

Mehr