Ratgeber

Blue Mail-App im Test: Nicht empfehlenswert

Ein Artikel von , veröffentlicht am 24.06.2019, bearbeitet am07.03.2018

Im Test der Version 1.9.3 übertrug die App das Passwort und den Nutzernamen von einem eingebundenen GMX-Konto TLS-verschlüsselt an Server von Blue Mail. Dies ist extrem problematisch, weil der Dienst damit theoretisch vollständigen Zugriff auf das eigene Mail-Konto haben kann. Update: In Version 1.9.4.2 ist das Problem behoben.

Was kann Blue Mail?

Es handelt sich um eine kostenlose E-Mail-App, verfügbar für Android und iOS. Man kann beliebig viele E-Mail-Konten von beliebigen Anbietern einbinden, zum Beispiel von GMX, Outlook, Hotmail etc.

Die App bietet viele zusätzliche Funktionen, wie Push-Nachrichten, Kalender und reichlich Möglichkeien zur Mail-Sortierung und Verwaltung.

Mit 5-10 Millionen Downloads im Play-Store ist sie eine durchaus häufig genutzte App, die auch mehrfach positiv von Technikmagazinen besprochen wurde, zum Beispiel bei connect oder Chip.

Anbieter ist die Blue Mail Inc. Gemeldet ist die Firma unter der Adresse Trident Chambers Road Town auf den Virgin Islands. In der Datenschutzerklärung ist mehrfach von „anderen Unternehmen der Gruppe“ die Rede. Wer noch zu dieser Gruppe gehört, ließ sich nur teilweise klären. Die E-Mail App „TypeApp“ gibt in ihrer Datenschutzerklärung an, zu Blue Mail Inc. zu gehören. Mit der Firma "Blue Mail Media Inc.", welche E-Mail-Marketing anbietet, hat die Blue Mail Inc. nach eigenen Angaben nichts zu tun.

Unser Test im Überblick

Getestet haben wir die Version 1.9.3 in ihrer kostenlosen Variante, die wir aus Googles Play-Store heruntergeladen haben. Dieser Test gilt nicht für andere Versionen.

Wenn man ein E-Mail-Konto manuell in der App einbindet, zum Beispiel von GMX, überträgt die App das Passwort und den Nutzernamen an Server von Blue Mail. Die Übertragung ist TLS-Verschlüsselt. Für Sicherheit und Privatsphäre ist das trotzdem ein Totalschaden. Denn der Dienst hat damit vollständigen Zugriff auf das eigene Mail-Konto. Aber damit nicht genug: Die App überträgt auch die Absender-Adressen von Mails, die bereits im Postfach liegen.

Laut Datenschutzerklärung speichert der Dienst sogar temporär E-Mails auf den eigenen Servern zwischen. Wie diese dort verschlüsselt oder gesichert sind, erklärt der Anbieter nicht. Auch die Android-ID erfasst der Dienst – ohne ersichtlichen Grund. Alle erhobenen Informationen können mit Unternehmen der Gruppe geteilt werden – diese Gruppe wird aber nirgends näher beschrieben. Sowohl der wahre Unternehmenssitz als auch der eigentliche Besitzer der Blue Mail Inc. bleiben obskur.

Aus den genannten Gründen ist diese App – trotz ihres viel gelobten Funktionsumfanges – vollkommen inakzeptabel. Es gibt reichlich Alternativen, wir raten von der Nutzung daher ab.

Übermittelte Informationen im Überblick

  • Passwort und Nutzername des E-Mail-Kontos
  • Android-ID
  • E-Mail-Adressen aus E-Mails im Posteingang

Unsere Testergebnisse im Detail

Getestet haben wir die Version 1.9.3 in ihrer kostenlosen Variante, die wir aus Googles Play-Store heruntergeladen haben. Dieser Test gilt nicht für andere Versionen. Getestet wurde für die Android-Version 6.0.1.

Die technische Analyse führte Mike Kuketz durch.

Auf welche Daten kann die App zugreifen?

Die App fordert relativ viele Berechtigungen. Die kritischen Berechtigung „Telefonstatus und Identität“ sowie „Konten auf dem Gerät suchen“ können wir nicht nachvollziehen.

Mit einem Klick auf die Berechtigung erhalten Sie mehr Informationen aus unserer Checkliste App-Berechtigungen entschlüsselt.

Kalender

  • Ohne Wissen der Eigentümer Termine hinzufügen oder ändern
  • Kalendertermine und vertrauliche Informationen lesen

Kontakte

Speicher

Sonstiges

Wie Sie Zugriffsrechte von Apps einschränken, erfahren Sie hier: Zugriffsrechte: Was darf meine App? 

Wohin verbindet sich die App?

Die gesamte Kommunikation ist TLS-verschlüsselt. Auf zusätzliche Sicherheit durch Cert-Pinning verzichten die Hersteller.

Was TLS und was Cert-Pinning ist, erklären wir in unserem Beitrag SSL/TLS: Fragen und Antworten.

Bluemail (Hauptdienst, mtu.bluemailapp.com): Man kann Blue Mail mit jedem beliebigem E-Mail-Konto verknüpfen, wenn es POP3/IMAP-fähig ist.

Bei der Anmeldung über ein bestehendens GMX-Konto überträgt die App folgende Informationen TLS-verschlüsselt an den Anbieter:

  • E-Mail-Adresse
  • Passwort
  • Android-ID
  • Geräte-Hersteller und Modell
  • Landeseinstellung
  • Mobilfunkanbieter (hier 02)
  • Mailserver (hier gmail.gmx.net) und Port
  • Eine einmalig in der App generierte ID
  • Detaillierte Android-Version

Beim Aufruf des Postfachs liest die App die E-Mail-Header von den E-Mails im Posteingang aus. Daraus extrahiert sie dann alle E-Mail-Adressen und sendet diese an Blue Mail. Also auch die E-Mail-Adressen derjenigen, die eine Mail geschickt haben. Das werten wir als extrem kritisch.

Die App erfasst dauerhaft, auch im Hintergrund, ob neue E-Mails da sind und wie viele E-Mails im Postfach liegen.

Hinweis: Es gibt Hinweise, dass Passwort und Nutzername nicht übertragen werden, wenn ein Gmail-Konto eingebunden wird.

Google GCM: Die App nutzt einen sehr weit verbreiteten Dienst von Google, über den Apps Push-Nachrichten versenden können. Es werden keine personenbeziehbaren Daten übermittelt.

Amazon: Die App nutzt einen Cloud-Dienst von Amazon. Es werden keine personenbeziehbaren Daten übermittelt.

Wie sicher speichert die App meine Daten?

Nach der Anmeldung an das GMX-Konto wird der Nutzername und das Passwort lokal in einer Datenbank abgelegt. Das Passwort wird dabei gehasht – auf den ersten Blick wird kein bekannter Hash-Algorithmus verwendet, sondern entweder ein selbst konstruierter oder wenig verbreiteter. Eine Aussage über die Sicherheit ist an dieser Stelle schwierig.

Was sagt die Datenschutzerklärung?

Die Datenschutzerklärung ist im Appstore verlinkt und nur auf Englisch verfügbar. In der Erklärung informiert Bluemail darüber, dass der Dienst das Passwort zu einem verknüpften Konto normalerweise nicht speichert. Wohl aber E-Mails aus dem Konto, E-Mail-Adressen aus dem Adressbuch und eindeutige Kennnummern wie die Android-ID. Auch die IP-Adresse wird ausgewertet.

Der Dienst behält sich vor, alle Informationen mit Partnern und Affiliates zu teilen. Wer die Partnerunternehmen sind, wird nicht genannt. Auch der Analyse-Dienst Mixpanel soll laut Datenschutzerklärung eingebunden sein und Informationen erhalten, obwohl wir ihn im Test nicht beobachtet haben.

Der Dienst behält sich vor, Marketing-Mails zu verschicken und weist auf Opt-out-Möglichkeit per Mail an privacy@bluemail.me hin.

Hinweis:
Die App TypeApp weist technisch große Ähnlichkeiten zur Blue Mail App auf. Sie übermittelt ebenfalls Nutzername und Passwort an die Betreiber. Inzwischen wurden weitere Apps entdeckt, die ähnlich vorgehen.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0xAC27FCDCF277F1E4

Fingerprint

E479 C1CD 0FC9 E373 A4B3 F5DB AC27 FCDC F277 F1E4

Miriam Ruhenstroth

Projektleiterin. Miriam Ruhenstroth hat mobilsicher.de seit Beginn des Projektes begleitet – zuerst als freie Autorin, später als Redakteurin. Seit Januar 2017 leitet sie das Projekt. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

App-Test 

Musikstreaming-App Spotify im Test (iOS)

Spotify auf iOS: Beinahe 200 Millionen Menschen streamen über Spotify Musik. Viele von ihnen greifen per Smartphone auf Spotify zu, auch per iPhone und iPad. Wir haben den Datenfluss und die Datenschutzpraxis der iOS-App getestet.

Mehr
Ratgeber 

Kill Switch: die Aktivierungssperre von Android

Die Aktivierungssperre soll Handys und Tablets für Diebe unbrauchbar machen. Allerdings ist sie nicht auf allen Android-Geräten aktiviert, vor allem nicht auf älteren. Zudem findet sich im Internet reichlich Software, mit der man den Schutz angeblich aushebeln kann.

Mehr
Ratgeber 

SMS verschlüsseln mit Silence

Die Auswahl an Apps zur Verschlüsselung des SMS-Verkehrs ist sehr eingeschränkt. Silence bietet als alternative SMS-App die Verschlüsselung von SMS an – mit Einschränkungen.

Mehr
Ratgeber 

Apples Sprachassistentin Siri: Praktische Wanze?

Siri führt gesprochene Anweisungen auf iOS-Geräten aus. Doch was den einen als Fortschritt gilt, ist für die anderen nichts anderes, als eine Abhörwanze. Wie übergriffig ist der Dienst? Hört Apple mit Siri alle Gespräche mit? Ein Faktencheck.

Mehr