Ratgeber

Blue Mail-App im Test: Nicht empfehlenswert

Ein Artikel von , veröffentlicht am 07.03.2018

Im Test der Version 1.9.3 übertrug die App das Passwort und den Nutzernamen von einem eingebundenen GMX-Konto TLS-verschlüsselt an Server von Blue Mail. Dies ist extrem problematisch, weil der Dienst damit theoretisch vollständigen Zugriff auf das eigene Mail-Konto haben kann. Update: In Version 1.9.4.2 ist das Problem behoben.

Was kann Blue Mail?

Es handelt sich um eine kostenlose E-Mail-App, verfügbar für Android und iOS. Man kann beliebig viele E-Mail-Konten von beliebigen Anbietern einbinden, zum Beispiel von GMX, Outlook, Hotmail etc.

Die App bietet viele zusätzliche Funktionen, wie Push-Nachrichten, Kalender und reichlich Möglichkeien zur Mail-Sortierung und Verwaltung.

Mit 5-10 Millionen Downloads im Play-Store ist sie eine durchaus häufig genutzte App, die auch mehrfach positiv von Technikmagazinen besprochen wurde, zum Beispiel bei connect oder Chip.

Anbieter ist die Blue Mail Inc. Gemeldet ist die Firma unter der Adresse Trident Chambers Road Town auf den Virgin Islands. In der Datenschutzerklärung ist mehrfach von „anderen Unternehmen der Gruppe“ die Rede. Wer noch zu dieser Gruppe gehört, ließ sich nur teilweise klären. Die E-Mail App „TypeApp“ gibt in ihrer Datenschutzerklärung an, zu Blue Mail Inc. zu gehören. Mit der Firma "Blue Mail Media Inc.", welche E-Mail-Marketing anbietet, hat die Blue Mail Inc. nach eigenen Angaben nichts zu tun.

Unser Test im Überblick

Getestet haben wir die Version 1.9.3 in ihrer kostenlosen Variante, die wir aus Googles Play-Store heruntergeladen haben. Dieser Test gilt nicht für andere Versionen.

Wenn man ein E-Mail-Konto manuell in der App einbindet, zum Beispiel von GMX, überträgt die App das Passwort und den Nutzernamen an Server von Blue Mail. Die Übertragung ist TLS-Verschlüsselt. Für Sicherheit und Privatsphäre ist das trotzdem ein Totalschaden. Denn der Dienst hat damit vollständigen Zugriff auf das eigene Mail-Konto. Aber damit nicht genug: Die App überträgt auch die Absender-Adressen von Mails, die bereits im Postfach liegen.

Laut Datenschutzerklärung speichert der Dienst sogar temporär E-Mails auf den eigenen Servern zwischen. Wie diese dort verschlüsselt oder gesichert sind, erklärt der Anbieter nicht. Auch die Android-ID erfasst der Dienst – ohne ersichtlichen Grund. Alle erhobenen Informationen können mit Unternehmen der Gruppe geteilt werden – diese Gruppe wird aber nirgends näher beschrieben. Sowohl der wahre Unternehmenssitz als auch der eigentliche Besitzer der Blue Mail Inc. bleiben obskur.

Aus den genannten Gründen ist diese App – trotz ihres viel gelobten Funktionsumfanges – vollkommen inakzeptabel. Es gibt reichlich Alternativen, wir raten von der Nutzung daher ab.

Übermittelte Informationen im Überblick

  • Passwort und Nutzername des E-Mail-Kontos
  • Android-ID
  • E-Mail-Adressen aus E-Mails im Posteingang

Unsere Testergebnisse im Detail

Getestet haben wir die Version 1.9.3 in ihrer kostenlosen Variante, die wir aus Googles Play-Store heruntergeladen haben. Dieser Test gilt nicht für andere Versionen. Getestet wurde für die Android-Version 6.0.1.

Die technische Analyse führte Mike Kuketz durch.

Auf welche Daten kann die App zugreifen?

Die App fordert relativ viele Berechtigungen. Die kritischen Berechtigung „Telefonstatus und Identität“ sowie „Konten auf dem Gerät suchen“ können wir nicht nachvollziehen.

Mit einem Klick auf die Berechtigung erhalten Sie mehr Informationen aus unserer Checkliste App-Berechtigungen entschlüsselt.

Kalender

  • Ohne Wissen der Eigentümer Termine hinzufügen oder ändern
  • Kalendertermine und vertrauliche Informationen lesen

Kontakte

Speicher

Sonstiges

Wie Sie Zugriffsrechte von Apps einschränken, erfahren Sie hier: Zugriffsrechte: Was darf meine App? 

Wohin verbindet sich die App?

Die gesamte Kommunikation ist TLS-verschlüsselt. Auf zusätzliche Sicherheit durch Cert-Pinning verzichten die Hersteller.

Was TLS und was Cert-Pinning ist, erklären wir in unserem Beitrag SSL/TLS: Fragen und Antworten.

Bluemail (Hauptdienst, mtu.bluemailapp.com): Man kann Blue Mail mit jedem beliebigem E-Mail-Konto verknüpfen, wenn es POP3/IMAP-fähig ist.

Bei der Anmeldung über ein bestehendens GMX-Konto überträgt die App folgende Informationen TLS-verschlüsselt an den Anbieter:

  • E-Mail-Adresse
  • Passwort
  • Android-ID
  • Geräte-Hersteller und Modell
  • Landeseinstellung
  • Mobilfunkanbieter (hier 02)
  • Mailserver (hier gmail.gmx.net) und Port
  • Eine einmalig in der App generierte ID
  • Detaillierte Android-Version

Beim Aufruf des Postfachs liest die App die E-Mail-Header von den E-Mails im Posteingang aus. Daraus extrahiert sie dann alle E-Mail-Adressen und sendet diese an Blue Mail. Also auch die E-Mail-Adressen derjenigen, die eine Mail geschickt haben. Das werten wir als extrem kritisch.

Die App erfasst dauerhaft, auch im Hintergrund, ob neue E-Mails da sind und wie viele E-Mails im Postfach liegen.

Hinweis: Es gibt Hinweise, dass Passwort und Nutzername nicht übertragen werden, wenn ein Gmail-Konto eingebunden wird.

Google GCM: Die App nutzt einen sehr weit verbreiteten Dienst von Google, über den Apps Push-Nachrichten versenden können. Es werden keine personenbeziehbaren Daten übermittelt.

Amazon: Die App nutzt einen Cloud-Dienst von Amazon. Es werden keine personenbeziehbaren Daten übermittelt.

Wie sicher speichert die App meine Daten?

Nach der Anmeldung an das GMX-Konto wird der Nutzername und das Passwort lokal in einer Datenbank abgelegt. Das Passwort wird dabei gehasht – auf den ersten Blick wird kein bekannter Hash-Algorithmus verwendet, sondern entweder ein selbst konstruierter oder wenig verbreiteter. Eine Aussage über die Sicherheit ist an dieser Stelle schwierig.

Was sagt die Datenschutzerklärung?

Die Datenschutzerklärung ist im Appstore verlinkt und nur auf Englisch verfügbar. In der Erklärung informiert Bluemail darüber, dass der Dienst das Passwort zu einem verknüpften Konto normalerweise nicht speichert. Wohl aber E-Mails aus dem Konto, E-Mail-Adressen aus dem Adressbuch und eindeutige Kennnummern wie die Android-ID. Auch die IP-Adresse wird ausgewertet.

Der Dienst behält sich vor, alle Informationen mit Partnern und Affiliates zu teilen. Wer die Partnerunternehmen sind, wird nicht genannt. Auch der Analyse-Dienst Mixpanel soll laut Datenschutzerklärung eingebunden sein und Informationen erhalten, obwohl wir ihn im Test nicht beobachtet haben.

Der Dienst behält sich vor, Marketing-Mails zu verschicken und weist auf Opt-out-Möglichkeit per Mail an privacy@bluemail.me hin.

Hinweis: Die App TypeApp weist technisch große Ähnlichkeiten zur Blue Mail App auf. Sie übermittelt ebenfalls Nutzername und Passwort an die Betreiber. Inzwischen wurden weitere Apps entdeckt, die ähnlich vorgehen.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0xAC27FCDCF277F1E4

Fingerprint

E479 C1CD 0FC9 E373 A4B3 F5DB AC27 FCDC F277 F1E4

Miriam Ruhenstroth

Projektleiterin. Miriam Ruhenstroth hat mobilsicher.de seit Beginn des Projektes begleitet – zuerst als freie Autorin, später als Redakteurin. Seit Januar 2017 leitet sie das Projekt. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

YouTube-Video 

Diese WhatsApp-Alternativen empfehlen wir

Seit den Enthüllungen von Edward Snowden gibt es immer mehr Messenger-Apps, die verschlüsselte Kommunikation anbieten und dabei einfach und komfortabel sind. Wir haben die beliebtesten Apps getestet und erklären ihre Vor- und Nachteile. Mehr dazu hier: mobilsicher.de/ratgeber/whatsapp-alternativen

Ansehen
YouTube-Video 

Ortung per WLAN – wie funktioniert das?

Mobiltelefone und andere mobile Geräte nutzen verschiedene Techniken, um festzustellen, wo sich ein Gerät – und damit sein Nutzer – befindet. Diese Techniken werden oft kombiniert, um genauere Ergebnisse zu erhalten. Ein Weg ist WPS, die Positionsbestimmung per WLAN. Die Funktion wertet zum Beispiel die Signale von kommerziellen Hotspots, Firmennetzwerken oder von privaten Routern aus. Wie funktioniert das?

Ansehen
Ratgeber 

Datenschutzrisiken bei Internet-Browsern: Cookies & Caches

Wer Webseiten auf seinem Smartphone oder Tablet ansteuert, macht das mit einem Browser. Hinter den Kulissen sollen Cookies und Caches das Surfen erleichtern. Doch zugleich kann damit das Surfverhalten der Nutzer ausgespäht werden.

Mehr
Ratgeber 

Rooten und Jailbreak – Erlischt die Gewährleistung?

Wer einen PC kauft, der darf dort jedes passende Betriebssystem installieren. Auch bei Smartphones kann man die Systemsoftware verändern – allerdings ist die Rechtslage nicht so eindeutig. Denn die Hersteller sehen „Jailbreak“ und „Rooten“ gar nicht gerne.

Mehr