Ratgeber

Blue Mail-App im Test: Nicht empfehlenswert

Ein Artikel von , veröffentlicht am 07.03.2018

Im Test der Version 1.9.3 übertrug die App das Passwort und den Nutzernamen von einem eingebundenen GMX-Konto TLS-verschlüsselt an Server von Blue Mail. Dies ist extrem problematisch, weil der Dienst damit theoretisch vollständigen Zugriff auf das eigene Mail-Konto haben kann. Update: In Version 1.9.4.2 ist das Problem behoben.

Was kann Blue Mail?

Es handelt sich um eine kostenlose E-Mail-App, verfügbar für Android und iOS. Man kann beliebig viele E-Mail-Konten von beliebigen Anbietern einbinden, zum Beispiel von GMX, Outlook, Hotmail etc.

Die App bietet viele zusätzliche Funktionen, wie Push-Nachrichten, Kalender und reichlich Möglichkeien zur Mail-Sortierung und Verwaltung.

Mit 5-10 Millionen Downloads im Play-Store ist sie eine durchaus häufig genutzte App, die auch mehrfach positiv von Technikmagazinen besprochen wurde, zum Beispiel bei connect oder Chip.

Anbieter ist die Blue Mail Inc. Gemeldet ist die Firma unter der Adresse Trident Chambers Road Town auf den Virgin Islands. In der Datenschutzerklärung ist mehrfach von „anderen Unternehmen der Gruppe“ die Rede. Wer noch zu dieser Gruppe gehört, ließ sich nur teilweise klären. Die E-Mail App „TypeApp“ gibt in ihrer Datenschutzerklärung an, zu Blue Mail Inc. zu gehören. Mit der Firma "Blue Mail Media Inc.", welche E-Mail-Marketing anbietet, hat die Blue Mail Inc. nach eigenen Angaben nichts zu tun.

Unser Test im Überblick

Getestet haben wir die Version 1.9.3 in ihrer kostenlosen Variante, die wir aus Googles Play-Store heruntergeladen haben. Dieser Test gilt nicht für andere Versionen.

Wenn man ein E-Mail-Konto manuell in der App einbindet, zum Beispiel von GMX, überträgt die App das Passwort und den Nutzernamen an Server von Blue Mail. Die Übertragung ist TLS-Verschlüsselt. Für Sicherheit und Privatsphäre ist das trotzdem ein Totalschaden. Denn der Dienst hat damit vollständigen Zugriff auf das eigene Mail-Konto. Aber damit nicht genug: Die App überträgt auch die Absender-Adressen von Mails, die bereits im Postfach liegen.

Laut Datenschutzerklärung speichert der Dienst sogar temporär E-Mails auf den eigenen Servern zwischen. Wie diese dort verschlüsselt oder gesichert sind, erklärt der Anbieter nicht. Auch die Android-ID erfasst der Dienst – ohne ersichtlichen Grund. Alle erhobenen Informationen können mit Unternehmen der Gruppe geteilt werden – diese Gruppe wird aber nirgends näher beschrieben. Sowohl der wahre Unternehmenssitz als auch der eigentliche Besitzer der Blue Mail Inc. bleiben obskur.

Aus den genannten Gründen ist diese App – trotz ihres viel gelobten Funktionsumfanges – vollkommen inakzeptabel. Es gibt reichlich Alternativen, wir raten von der Nutzung daher ab.

Übermittelte Informationen im Überblick

  • Passwort und Nutzername des E-Mail-Kontos
  • Android-ID
  • E-Mail-Adressen aus E-Mails im Posteingang

Unsere Testergebnisse im Detail

Getestet haben wir die Version 1.9.3 in ihrer kostenlosen Variante, die wir aus Googles Play-Store heruntergeladen haben. Dieser Test gilt nicht für andere Versionen. Getestet wurde für die Android-Version 6.0.1.

Die technische Analyse führte Mike Kuketz durch.

Auf welche Daten kann die App zugreifen?

Die App fordert relativ viele Berechtigungen. Die kritischen Berechtigung „Telefonstatus und Identität“ sowie „Konten auf dem Gerät suchen“ können wir nicht nachvollziehen.

Mit einem Klick auf die Berechtigung erhalten Sie mehr Informationen aus unserer Checkliste App-Berechtigungen entschlüsselt.

Kalender

  • Ohne Wissen der Eigentümer Termine hinzufügen oder ändern
  • Kalendertermine und vertrauliche Informationen lesen

Kontakte

Speicher

Sonstiges

Wie Sie Zugriffsrechte von Apps einschränken, erfahren Sie hier: Zugriffsrechte: Was darf meine App? 

Wohin verbindet sich die App?

Die gesamte Kommunikation ist TLS-verschlüsselt. Auf zusätzliche Sicherheit durch Cert-Pinning verzichten die Hersteller.

Was TLS und was Cert-Pinning ist, erklären wir in unserem Beitrag SSL/TLS: Fragen und Antworten.

Bluemail (Hauptdienst, mtu.bluemailapp.com): Man kann Blue Mail mit jedem beliebigem E-Mail-Konto verknüpfen, wenn es POP3/IMAP-fähig ist.

Bei der Anmeldung über ein bestehendens GMX-Konto überträgt die App folgende Informationen TLS-verschlüsselt an den Anbieter:

  • E-Mail-Adresse
  • Passwort
  • Android-ID
  • Geräte-Hersteller und Modell
  • Landeseinstellung
  • Mobilfunkanbieter (hier 02)
  • Mailserver (hier gmail.gmx.net) und Port
  • Eine einmalig in der App generierte ID
  • Detaillierte Android-Version

Beim Aufruf des Postfachs liest die App die E-Mail-Header von den E-Mails im Posteingang aus. Daraus extrahiert sie dann alle E-Mail-Adressen und sendet diese an Blue Mail. Also auch die E-Mail-Adressen derjenigen, die eine Mail geschickt haben. Das werten wir als extrem kritisch.

Die App erfasst dauerhaft, auch im Hintergrund, ob neue E-Mails da sind und wie viele E-Mails im Postfach liegen.

Hinweis: Es gibt Hinweise, dass Passwort und Nutzername nicht übertragen werden, wenn ein Gmail-Konto eingebunden wird.

Google GCM: Die App nutzt einen sehr weit verbreiteten Dienst von Google, über den Apps Push-Nachrichten versenden können. Es werden keine personenbeziehbaren Daten übermittelt.

Amazon: Die App nutzt einen Cloud-Dienst von Amazon. Es werden keine personenbeziehbaren Daten übermittelt.

Wie sicher speichert die App meine Daten?

Nach der Anmeldung an das GMX-Konto wird der Nutzername und das Passwort lokal in einer Datenbank abgelegt. Das Passwort wird dabei gehasht – auf den ersten Blick wird kein bekannter Hash-Algorithmus verwendet, sondern entweder ein selbst konstruierter oder wenig verbreiteter. Eine Aussage über die Sicherheit ist an dieser Stelle schwierig.

Was sagt die Datenschutzerklärung?

Die Datenschutzerklärung ist im Appstore verlinkt und nur auf Englisch verfügbar. In der Erklärung informiert Bluemail darüber, dass der Dienst das Passwort zu einem verknüpften Konto normalerweise nicht speichert. Wohl aber E-Mails aus dem Konto, E-Mail-Adressen aus dem Adressbuch und eindeutige Kennnummern wie die Android-ID. Auch die IP-Adresse wird ausgewertet.

Der Dienst behält sich vor, alle Informationen mit Partnern und Affiliates zu teilen. Wer die Partnerunternehmen sind, wird nicht genannt. Auch der Analyse-Dienst Mixpanel soll laut Datenschutzerklärung eingebunden sein und Informationen erhalten, obwohl wir ihn im Test nicht beobachtet haben.

Der Dienst behält sich vor, Marketing-Mails zu verschicken und weist auf Opt-out-Möglichkeit per Mail an privacy@bluemail.me hin.

Hinweis: Die App TypeApp weist technisch große Ähnlichkeiten zur Blue Mail App auf. Sie übermittelt ebenfalls Nutzername und Passwort an die Betreiber. Inzwischen wurden weitere Apps entdeckt, die ähnlich vorgehen.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0x2F021121044527DC

PGP Public Key

Download als .asc

Fingerprint

BC80 45E0 3110 EA00 A880 0827 2F02 1121 0445 27DC

Miriam Ruhenstroth

Begleitet mobilsicher.de seit der Gründung – zuerst als freie Autorin, dann als Redakteurin. Seit Januar 2017 leitet sie das Projekt, das 2020 um den AppChecker erweitert wurde. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Ratgeber 

Gefälschte Profile und die SMS-TAN

Manche Leistungen kann man im Internet per Mobilfunknummer bezahlen – sie werden dann auf die Handyrechnung gesetzt. Das machen sich Betrüger*innen zunutze. Als falsche Freund*innen erschleichen sie sich Ihre Telefonnummer und den Bestätigungs-Code und kaufen auf Ihre Kosten ein.

Mehr
Ratgeber 

Mobilsicher 2017: Unsere Top 10

Mehr als 200 Mobilsicher-Artikel sind in diesem Jahr erschienen: Hintergrundtexte, App-Tests, Anleitungen, Erklärvideos und aktuelle Meldungen zu Sicherheitslücken, Betrugsmaschen und vielem anderen. Diese zehn Texte haben unsere Leser und Leserinnen 2017 am meisten interessiert.

Mehr
App-Test 

Test: Clean Master (Boost Antivirus) kontaktiert heimlich Porno-Seiten

Die kostenlose App verspricht, Android-Geräte zu optimieren und Nutzer vor „Sicherheitsproblemen und Verletzung des Datenschutzes“ zu schützen. Unser Test zeigt: Die App ist ein Sicherheitsrisiko und verletzt den Datenschutz mehrfach.

Mehr
Ratgeber 

Die Spur der Daten

Wie eine aktuelle Recherche aufdeckte, sind detaillierte Datensätze von Millionen deutscher Nutzer auf dem internationalen Markt zu haben. Doch wie werden die Daten abgegriffen? Mobilsicher.de und NDR konnten es in einem Fall nachvollziehen.

Mehr