Ratgeber

Sicherheits-Desaster: Mail-Apps übertragen Passwörter

Ein Artikel von , veröffentlicht am 24.06.2019, bearbeitet am08.03.2018

In eine Mail-App kann man seine E-Mail-Konten einbinden, in dem digitalen Briefkasten finden sich dann alle Mails auf einen Blick. Unsere Tests ergaben: Die Apps Blue Mail, TypeApp und MyMail übermitteln die Zugangsdaten für die verknüpften Konten an ihre Hersteller. Das ist so unnötig wie skandalös.

Update (07.03): Ein Update der Blue Mail-App auf die Version 1.9.4 vom 6. März behob das Problem nicht. Am 7. März erfolgte ein weiteres Update, auf Version 1.9.4.1. Blue Mail hat uns gebeten, diese Version auch nochmal zu überprüfen.

Update (08.03): In der Nacht vom 7. auf den 8. März erfolgte ein weiteres Update der Blue Mail-App, auf Version 1.9.4.2. In dieser Version überträgt die App nun keine Passwörter und Nutzernamen mehr von einem verknüpften GMX-Konto. Weitere Kritikpunkte wurden noch nicht angegangen, zum Beispiel das Auslesen von Absender-E-Mail-Adressen. Wir warten noch auf ein Statement dazu.

Update (13.03): In einer früheren Version stand im Vorspann zu diesem Text, dass Passwörter im Klartext übermittelt würden. Dies ist nicht korrekt. Alle Zugangsdaten wurden stets TLS-verschlüsselt übermittelt.

Alles begann mit einem Test der E-Mail-App Blue Mail, die wir bei unserem Autor und App-Tester Mike Kuketz in Auftrag gegeben hatten. Das Ergebnis war schlimmer als erwartet:

Bindet man in diese App ein E-Mail-Konto manuell ein, zum Beispiel von GMX, so sendet die App das Passwort und den Nutzernamen zu diesem E-Mail-Konto an die Server von Blue Mail. Die Übertragung ist TLS-Verschlüsselt. Dennoch hat der Anbieter damit theoretisch vollen Zugriff auf das Mail-Konto.

Wer hinter der App steckt, und was sie sonst noch alles sendet, erfahren Sie im vollen Testbericht.

Für Datensicherheit und Privatsphäre ist das ein Sicherheitsdesaster – und offenbar kein Einzelfall. Durch den esten Test neugierig geworden, untersuchte Kuketz weitere Apps und fand eine ganze Liste, die genauso vorgehen, wie Blue Mail:

Seriöse Apps übertragen niemals den Nutzernamen oder das Passwort eines eingebundenen Accounts an den Hersteller. Streng genommen sollten sie überhaupt keine Nutzerinformationen an den Hersteller übermitteln, denn das ist für die Diensterbringung gar nicht nötig. Eine App, die diese Forderung erfüllt, ist zum Beispiel K9-Mail, die wir auf mobilsicher.de schon lange empfehlen.

Hinweis: Die Blue Mail-App überträgt die Zugangsdaten nicht, wenn ein Gmail-Konto eingebunden wird, wie uns der Autor von Caschys Blog informierte. Die Hersteller selbst haben inzwischen reagiert. Auf Twitter und in den Kommentaren des Play-Stores schreiben sie:

The information in the article is not true and misleading. We do not store emails or passwords as implied. BlueMail is a secure email client that communicates directly with email providers. BlueMail uses SSL & OAuth where applicable.

Per E-Mail haben die Hersteller eine Stellungnahme angekündigt, jedoch auf Anfrage keinerlei Erklärung für die beobachtete Datenübertragung geliefert. Auch ein Update vom 06.03.2018 auf die Version 1.9.4 gab nach erster Analyse von Kuketz keine Verbesserung, obwohl die Hersteller dazu schreiben:

...Secured app: we do not send passwords to our servers, or to any 3rd parties. Emails are not stored on our servers....

Passwort und Nutzername werden auch in dieser Version TLS-verschlüsselt an einen Server von Blue Mail übertragen.

Hintergrund: E-Mail-Apps

Wer E-Mails auf dem Smartphone nutzen will, hat verschiedene Möglichkeiten:

  • über eine Browser-App kann man sich auf der Webseite des E-Mail-Anbieters einloggen
  • man verwaltet seine E-Mails über die App des Anbieters
  • oder man nutzt ein Anbieter-offenes Mail-Programm, über das sich Postfächer verschiedener E-Mail-Provider verknüpfen lassen.

Die Grenze zwischen den Modellen ist nicht immer scharf. In einigen Apps von E-Mail-Anbietern lassen sich auch Postfächer anderer Mail-Provider einbinden. Das ist beispielsweise bei der Gmail-App möglich und auch auch bei der App von t-online.

Jedes Smartphone kommt ab Werk mit einer oder mehreren vorinstallierten E-Mail-Apps. Auf Android-Geräten ist das fast immer die Google-App Gmail, manchmal ist es eine App, die einfach nur „Mail“ heißt und deren Hersteller nicht erkennbar ist. Aber man muss diese vorinstallierten Apps nicht nutzen, es gibt dutzende Mail-Apps, mit denen man sie einfach ersetzen kann.

Bei mobilsicher.de haben wir schon lange vermutet, dass Mail-Apps – egal ob vorinstalliert oder nachträglich installiert – womöglich mehr Informationen an den Hersteller übermitteln als nötig. Dass es so grob kommt, hätten wir aber nicht erwartet.

Fazit: Bei der Auswahl der Mail-App sollte man sehr sorgfältig vorgehen und unbedingt genau prüfen, was man da benutzt. Man sollte weder den vorinstallierten Produkten noch irgendwelchen Mail-Apps aus dem Play-Store blind vertrauen.

Die Autorin

E-Mail

m.ruhenstroth@mobilsicher.de

PGP-Key

0x2F021121044527DC

PGP Public Key

Download als .asc

Fingerprint

BC80 45E0 3110 EA00 A880 0827 2F02 1121 0445 27DC

Miriam Ruhenstroth

Begleitet mobilsicher.de seit der Gründung – zuerst als freie Autorin, dann als Redakteurin. Seit Januar 2017 leitet sie das Projekt, das 2020 um den AppChecker erweitert wurde. Davor arbeitete sie viele Jahre als freie Technik- und Wissenschaftsjournalistin.

Weitere Artikel

Ratgeber 

So finden Sie Android-Version und Gerätenummern (Android 9)

Welche Android-Version auf einem Smartphone oder Tablet installiert ist, können Sie leicht über die Einstellungen herausfinden. Neben der Version des Betriebssystems finden Sie dort noch weitere nützliche Daten. Wir zeigen Schritt für Schritt, wie es geht.

Mehr
Ratgeber 

Was Sie über Mail-Apps wissen sollten

Mail-Apps erlauben es, verschiedene E-Mail-Adressen in einer einzigen App zu verwalten. Das ist praktisch, jedoch werden dabei sehr persönliche Daten einem einzigen Anbieter anvertraut. Damit Sie nicht an die Falschen geraten, haben wir hier die wichtigsten Infos zusammengestellt.

Mehr
Kommentar 

Übers Mobilnetz zu Hause surfen? Keine gute Idee für die Umwelt

O2 kündigt Mobilverträge mit unbegrenzten Daten. Das ist doof, aber das Problem ist eigentlich Marktversagen anderer Art.

Mehr
Ratgeber 

iOS 13: Mit Apple-ID bei anderen Diensten anmelden

Apps und Online-Dienste, bei denen Sie sich bisher mit Ihrem Facebook- oder Google-Konto anmelden konnten, können seit September auch die Anmeldung mit der Apple-ID anbieten. Vorteil: Apple erstellt dabei keine Nutzungsprofile. Nachteil: Sie müssen dafür ein Apple-Gerät besitzen. Wir stellen die neue Funktion vor.

Mehr