Dieser Artikel wurde vor mehr als einem Jahr veröffentlicht. Die Informationen könnten veraltet sein.
Ratgeber

Sicherheits-Desaster: Mail-Apps übertragen Passwörter

Ein Artikel von , veröffentlicht am 24.06.2019, bearbeitet am08.03.2018

In eine Mail-App kann man seine E-Mail-Konten einbinden, in dem digitalen Briefkasten finden sich dann alle Mails auf einen Blick. Unsere Tests ergaben: Die Apps Blue Mail, TypeApp und MyMail übermitteln die Zugangsdaten für die verknüpften Konten an ihre Hersteller. Das ist so unnötig wie skandalös.

Update (07.03): Ein Update der Blue Mail-App auf die Version 1.9.4 vom 6. März behob das Problem nicht. Am 7. März erfolgte ein weiteres Update, auf Version 1.9.4.1. Blue Mail hat uns gebeten, diese Version auch nochmal zu überprüfen.

Update (08.03): In der Nacht vom 7. auf den 8. März erfolgte ein weiteres Update der Blue Mail-App, auf Version 1.9.4.2. In dieser Version überträgt die App nun keine Passwörter und Nutzernamen mehr von einem verknüpften GMX-Konto. Weitere Kritikpunkte wurden noch nicht angegangen, zum Beispiel das Auslesen von Absender-E-Mail-Adressen. Wir warten noch auf ein Statement dazu.

Update (13.03): In einer früheren Version stand im Vorspann zu diesem Text, dass Passwörter im Klartext übermittelt würden. Dies ist nicht korrekt. Alle Zugangsdaten wurden stets TLS-verschlüsselt übermittelt.

Alles begann mit einem Test der E-Mail-App Blue Mail, die wir bei unserem Autor und App-Tester Mike Kuketz in Auftrag gegeben hatten. Das Ergebnis war schlimmer als erwartet:

Bindet man in diese App ein E-Mail-Konto manuell ein, zum Beispiel von GMX, so sendet die App das Passwort und den Nutzernamen zu diesem E-Mail-Konto an die Server von Blue Mail. Die Übertragung ist TLS-Verschlüsselt. Dennoch hat der Anbieter damit theoretisch vollen Zugriff auf das Mail-Konto.

Wer hinter der App steckt, und was sie sonst noch alles sendet, erfahren Sie im vollen Testbericht.

Für Datensicherheit und Privatsphäre ist das ein Sicherheitsdesaster – und offenbar kein Einzelfall. Durch den esten Test neugierig geworden, untersuchte Kuketz weitere Apps und fand eine ganze Liste, die genauso vorgehen, wie Blue Mail:

Seriöse Apps übertragen niemals den Nutzernamen oder das Passwort eines eingebundenen Accounts an den Hersteller. Streng genommen sollten sie überhaupt keine Nutzerinformationen an den Hersteller übermitteln, denn das ist für die Diensterbringung gar nicht nötig. Eine App, die diese Forderung erfüllt, ist zum Beispiel K9-Mail, die wir auf mobilsicher.de schon lange empfehlen.

Hinweis: Die Blue Mail-App überträgt die Zugangsdaten nicht, wenn ein Gmail-Konto eingebunden wird, wie uns der Autor von Caschys Blog informierte. Die Hersteller selbst haben inzwischen reagiert. Auf Twitter und in den Kommentaren des Play-Stores schreiben sie:

The information in the article is not true and misleading. We do not store emails or passwords as implied. BlueMail is a secure email client that communicates directly with email providers. BlueMail uses SSL & OAuth where applicable.

Per E-Mail haben die Hersteller eine Stellungnahme angekündigt, jedoch auf Anfrage keinerlei Erklärung für die beobachtete Datenübertragung geliefert. Auch ein Update vom 06.03.2018 auf die Version 1.9.4 gab nach erster Analyse von Kuketz keine Verbesserung, obwohl die Hersteller dazu schreiben:

...Secured app: we do not send passwords to our servers, or to any 3rd parties. Emails are not stored on our servers....

Passwort und Nutzername werden auch in dieser Version TLS-verschlüsselt an einen Server von Blue Mail übertragen.

Hintergrund: E-Mail-Apps

Wer E-Mails auf dem Smartphone nutzen will, hat verschiedene Möglichkeiten:

  • über eine Browser-App kann man sich auf der Webseite des E-Mail-Anbieters einloggen
  • man verwaltet seine E-Mails über die App des Anbieters
  • oder man nutzt ein Anbieter-offenes Mail-Programm, über das sich Postfächer verschiedener E-Mail-Provider verknüpfen lassen.

Die Grenze zwischen den Modellen ist nicht immer scharf. In einigen Apps von E-Mail-Anbietern lassen sich auch Postfächer anderer Mail-Provider einbinden. Das ist beispielsweise bei der Gmail-App möglich und auch auch bei der App von t-online.

Jedes Smartphone kommt ab Werk mit einer oder mehreren vorinstallierten E-Mail-Apps. Auf Android-Geräten ist das fast immer die Google-App Gmail, manchmal ist es eine App, die einfach nur „Mail“ heißt und deren Hersteller nicht erkennbar ist. Aber man muss diese vorinstallierten Apps nicht nutzen, es gibt dutzende Mail-Apps, mit denen man sie einfach ersetzen kann.

Bei mobilsicher.de haben wir schon lange vermutet, dass Mail-Apps – egal ob vorinstalliert oder nachträglich installiert – womöglich mehr Informationen an den Hersteller übermitteln als nötig. Dass es so grob kommt, hätten wir aber nicht erwartet.

Fazit: Bei der Auswahl der Mail-App sollte man sehr sorgfältig vorgehen und unbedingt genau prüfen, was man da benutzt. Man sollte weder den vorinstallierten Produkten noch irgendwelchen Mail-Apps aus dem Play-Store blind vertrauen.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0x2F021121044527DC

PGP Public Key

Download als .asc

Fingerprint

BC80 45E0 3110 EA00 A880 0827 2F02 1121 0445 27DC

Miriam Ruhenstroth

Begleitet mobilsicher.de seit der Gründung – zuerst als freie Autorin, dann als Redakteurin. Seit Januar 2017 leitet sie das Projekt, das 2020 um den AppChecker erweitert wurde. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Ratgeber 

Daten vom Mobilgerät löschen

Smartphones können jede Menge sensibler Daten speichern. Manchmal ist es wünschenswert, diese Daten wieder zu entfernen. Einfach Zurücksetzen oder Löschen reicht dafür nicht, denn dann können die Daten unter Umständen leicht wiederhergestellt werden.

Mehr
Ratgeber 

Kritisch hinterfragt: App-Rankings auf Android und iOS

Wenn Sie im Play-Store von Android oder im App-Store von iOS einen Suchbegriff eingeben, präsentieren Google und Apple Ihnen eine Reihenfolge von Apps. Wie erzeugen die IT-Konzerne diese Listen, und befinden sich auf den vorderen Plätzen automatisch auch die nutzerfreundlichsten Apps?

Mehr
Ratgeber 

Auflösung

Natürlich ist unser Quiz nur als Spaß gemeint und nicht als ernsthafte Beurteilung. Trotzdem stecken hinter den einzelnen Fragen und Antworten ganz ernsthafte Sachverhalte. Welche, erfahren Sie hier.

Mehr
Ratgeber 

Apps gecheckt: Diese Selfie-Apps sammeln deine Gesichtsdaten (Android)

Bild hochladen, Katzenohren dran, fertig: Fotofilter für Selfies gibt es schon lange. Doch was passiert, wenn Software-Firmen ihr Geschäftsmodell ganz auf die Gesichter von Nutzer*innen ausrichten? Sechs beliebte Apps im Test.

Mehr