Ratgeber

Sicherheits-Desaster: Mail-Apps übertragen Passwörter

Ein Artikel von , veröffentlicht am 24.06.2019, bearbeitet am08.03.2018

In eine Mail-App kann man seine E-Mail-Konten einbinden, in dem digitalen Briefkasten finden sich dann alle Mails auf einen Blick. Unsere Tests ergaben: Die Apps Blue Mail, TypeApp und MyMail übermitteln die Zugangsdaten für die verknüpften Konten an ihre Hersteller. Das ist so unnötig wie skandalös.

Update (07.03): Ein Update der Blue Mail-App auf die Version 1.9.4 vom 6. März behob das Problem nicht. Am 7. März erfolgte ein weiteres Update, auf Version 1.9.4.1. Blue Mail hat uns gebeten, diese Version auch nochmal zu überprüfen.

Update (08.03): In der Nacht vom 7. auf den 8. März erfolgte ein weiteres Update der Blue Mail-App, auf Version 1.9.4.2. In dieser Version überträgt die App nun keine Passwörter und Nutzernamen mehr von einem verknüpften GMX-Konto. Weitere Kritikpunkte wurden noch nicht angegangen, zum Beispiel das Auslesen von Absender-E-Mail-Adressen. Wir warten noch auf ein Statement dazu.

Update (13.03): In einer früheren Version stand im Vorspann zu diesem Text, dass Passwörter im Klartext übermittelt würden. Dies ist nicht korrekt. Alle Zugangsdaten wurden stets TLS-verschlüsselt übermittelt.

Alles begann mit einem Test der E-Mail-App Blue Mail, die wir bei unserem Autor und App-Tester Mike Kuketz in Auftrag gegeben hatten. Das Ergebnis war schlimmer als erwartet:

Bindet man in diese App ein E-Mail-Konto manuell ein, zum Beispiel von GMX, so sendet die App das Passwort und den Nutzernamen zu diesem E-Mail-Konto an die Server von Blue Mail. Die Übertragung ist TLS-Verschlüsselt. Dennoch hat der Anbieter damit theoretisch vollen Zugriff auf das Mail-Konto.

Wer hinter der App steckt, und was sie sonst noch alles sendet, erfahren Sie im vollen Testbericht.

Für Datensicherheit und Privatsphäre ist das ein Sicherheitsdesaster – und offenbar kein Einzelfall. Durch den esten Test neugierig geworden, untersuchte Kuketz weitere Apps und fand eine ganze Liste, die genauso vorgehen, wie Blue Mail:

Seriöse Apps übertragen niemals den Nutzernamen oder das Passwort eines eingebundenen Accounts an den Hersteller. Streng genommen sollten sie überhaupt keine Nutzerinformationen an den Hersteller übermitteln, denn das ist für die Diensterbringung gar nicht nötig. Eine App, die diese Forderung erfüllt, ist zum Beispiel K9-Mail, die wir auf mobilsicher.de schon lange empfehlen.

Hinweis: Die Blue Mail-App überträgt die Zugangsdaten nicht, wenn ein Gmail-Konto eingebunden wird, wie uns der Autor von Caschys Blog informierte. Die Hersteller selbst haben inzwischen reagiert. Auf Twitter und in den Kommentaren des Play-Stores schreiben sie:

The information in the article is not true and misleading. We do not store emails or passwords as implied. BlueMail is a secure email client that communicates directly with email providers. BlueMail uses SSL & OAuth where applicable.

Per E-Mail haben die Hersteller eine Stellungnahme angekündigt, jedoch auf Anfrage keinerlei Erklärung für die beobachtete Datenübertragung geliefert. Auch ein Update vom 06.03.2018 auf die Version 1.9.4 gab nach erster Analyse von Kuketz keine Verbesserung, obwohl die Hersteller dazu schreiben:

...Secured app: we do not send passwords to our servers, or to any 3rd parties. Emails are not stored on our servers....

Passwort und Nutzername werden auch in dieser Version TLS-verschlüsselt an einen Server von Blue Mail übertragen.

Hintergrund: E-Mail-Apps

Wer E-Mails auf dem Smartphone nutzen will, hat verschiedene Möglichkeiten:

  • über eine Browser-App kann man sich auf der Webseite des E-Mail-Anbieters einloggen
  • man verwaltet seine E-Mails über die App des Anbieters
  • oder man nutzt ein Anbieter-offenes Mail-Programm, über das sich Postfächer verschiedener E-Mail-Provider verknüpfen lassen.

Die Grenze zwischen den Modellen ist nicht immer scharf. In einigen Apps von E-Mail-Anbietern lassen sich auch Postfächer anderer Mail-Provider einbinden. Das ist beispielsweise bei der Gmail-App möglich und auch auch bei der App von t-online.

Jedes Smartphone kommt ab Werk mit einer oder mehreren vorinstallierten E-Mail-Apps. Auf Android-Geräten ist das fast immer die Google-App Gmail, manchmal ist es eine App, die einfach nur „Mail“ heißt und deren Hersteller nicht erkennbar ist. Aber man muss diese vorinstallierten Apps nicht nutzen, es gibt dutzende Mail-Apps, mit denen man sie einfach ersetzen kann.

Bei mobilsicher.de haben wir schon lange vermutet, dass Mail-Apps – egal ob vorinstalliert oder nachträglich installiert – womöglich mehr Informationen an den Hersteller übermitteln als nötig. Dass es so grob kommt, hätten wir aber nicht erwartet.

Fazit: Bei der Auswahl der Mail-App sollte man sehr sorgfältig vorgehen und unbedingt genau prüfen, was man da benutzt. Man sollte weder den vorinstallierten Produkten noch irgendwelchen Mail-Apps aus dem Play-Store blind vertrauen.

Artikel drucken:

Beitrag teilen:

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0x2F021121044527DC

PGP Public Key

Download als .asc

Fingerprint

BC80 45E0 3110 EA00 A880 0827 2F02 1121 0445 27DC

Miriam Ruhenstroth

Begleitet mobilsicher.de seit der Gründung – zuerst als freie Autorin, dann als Redakteurin. Seit Januar 2017 leitet sie das Projekt, das 2020 um den AppChecker erweitert wurde. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

App-Test 

Viber: Telefonie- und Messenger-App

Viber ist ein kostenloser Messenger mit Anruf-Funktion. Die App wird für die meisten Desktop-Systeme und Smartphones angeboten. Unser Test auf Android zeigt: Es werden viele sensible Informationen übermittelt – auch von unbeteiligten Dritten.

Mehr Ratgeber 

Werbe-Apps: Von nervig bis gefährlich

Viele App-Anbieter*innen blenden in ihre Produkte Werbung ein, um damit Geld zu verdienen. Doch nicht alle halten sich dabei an die Regeln. Wir erklären, wie viel Werbung erlaubt ist und was Sie gegen zu viel Werbung tun können.

Mehr Checkliste 

Checkliste: Mobilgerät weg? So sorgen Sie vor

Mit diesen Vorkehrungen können Sie Ihr Smartphone absichern, für den Fall, dass es einmal verloren geht, oder gestohlen wird. Selbst wenn das Gerät verschwunden bleibt: Ihre Daten und Passwörter sind dann zumindest geschützt.

Mehr Ratgeber 

Apps des Jahres – die 50 Besten aus 2020

Video-Konferenzen, Cloud-basiertes Arbeiten, Fernunterricht - 2020 war das Jahr des Homeoffice. In unserer Bestenliste finden Sie aber auch Apps, die Sie an die frische Luft bringen oder den ganz normalen Alltag erleichtern. Wie alle unsere Empfehlungen sind sie freundlich zu Ihren Daten.

Mehr

Kontakt

Institut für Technik und Journalismus e.V.
Linienstraße 13
10178 Berlin

redaktion@mobilsicher.de

Lizenz

Wenn nicht anders gekennzeichnet, stehen alle Inhalte dieser Website unter der Lizenz Creative Commons Namensnennung-Keine Bearbeitung 3.0 Deutschland.

Förderung

Gefördert durch: Bundesministerium für Umwelt, Naturschutz, nukleare Sicherheit und Verbraucherschutz aufgrund eines Beschlusses des Deutschen Bundestages

Träger

Impressum Datenschutz