vonaktionfsa 08.03.2018

Bewegungs-Blog

Informieren! Aktivieren! Bewegen! – Hier bloggen die Mitglieder der taz Bewegung über ihr Engagement. | © Jerry Kiesewetter / Unsplash

Mehr über diesen Blog

Wir wissen ja alle, dass wir viele „kostenlose“ Apps mit unseren Daten bezahlen – und viele lassen sich auf dieses böse Spiel ein. Aber Datenklau kann man doch auch „sicher“ machen ;-))

Der Sicherheitsexperte Mike Kuketz testet für das Online-Magazin Mobilsicher gerade E-Mail-Apps für Android Smartphones. Dabei hat er festgestellt, dass eine ganze Reihe dieser Apps die Kennwörter zur Anmeldung beim E-Mail-Anbieter an ihre Hersteller übertragen – und einige sogar im Klartext ohne Verschlüsselung.

Das betrifft nach seinen Recherchen die E-Mail-Clients

Während die meisten dieser Apps das ohne „Wissen“ der Nutzer machen, hat sich der Anbieter der Blue-Mail-App die Genehmigung zum Sammeln der Anmeldedaten in der Datenschutzerklärung eingeholt, der man mit dem Herunterladen der App zugestimmt hat. Hat dies auch Jede/r gelesen? ;-))

Schlimmerweise haben die oben genannten Apps viele positive Bewertungen im Play Store. Blue Mail kommt dort auf 5 bis 10 Millionen Installationen, Type App und Email App for Any Mail haben es auf 1 bis 5 Millionen Installationen geschafft. Bei myMail und Mail.ru sind es sogar 10 bis 50 Millionen Installationen.

Bei seinen Untersuchungen hat Kuketz ermittelt, dass die App Blue Mail noch weitere vertrauliche Daten von ihren Nutzern ausliest. So werden alle E-Mail-Adressen aus dem Postfach an den Hersteller gesendet.

Wir können nur empfehlen diese Apps zu deinstallieren und auf eine andere E-Mail-App zu wechseln. Wir haben gute Erfahrungen mit dem E-Mail-Client K9 Mail.gemacht, der mit der App OpenKeyChain auch leicht verschlüsselte Mails verarbeiten kann.

Mehr dazu bei https://www.golem.de/news/e-mail-clients-fuer-android-kennwoerter-werden-im-klartext-an-betreiber-uebermittelt-1803-133172.html
und https://www.kuketz-blog.de/mail-apps-zahlreiche-android-apps-uebermitteln-login-passwort/
und https://www.aktion-freiheitstattangst.org/de/articles/6395-20180308-diverse-e-mail-apps-geben-passwoerter-weiter.htm

[Die Meinung der/s Autor*in entspricht nicht notwendigerweise der der Redaktion]

[Die Meinung der/s Autor*in entspricht nicht notwendigerweise der der Redaktion]

Wenn dir der Artikel gefallen hat, dann teile ihn über Facebook oder Twitter. Falls du was zu sagen hast, freuen wir uns über Kommentare

https://blogs.taz.de/bewegung/2018/03/08/passwoerter-im-klartext-klauen-geht-gar-nicht/

aktuell auf taz.de

kommentare

  • Das mit dem „Klartext“ ist etwas missverständlich. Die Blue Mail App überträgt sämtliche Daten TLS-Verschlüsselt – für einen Dritten, der sich dazwischen schaltet, sind die Passwörter also nicht ohne weiteres lesbar.
    Aber darüberhinaus sind sie eben nicht verschlüsselt, d.h. nicht gehasht oder anderweitig codiert. Blue Mail kann sie also lesen, sobald sie dort auf dem Server angekommen sind. Das ist unser Hauptkritikpunkt.

    Blue Mail hat übrigens inzwischen reagiert und nach zwei erfolglosen Updates nun mit Version 1.9.4.2 ein Update gebracht, in dem die Login-Daten nicht mehr übertragen werden.

    Es wäre auch toll gewesen, wenn der Autor den eigentlichen Test auf der Seite von mobilsicher.de verlinkt hätte. Hole ich hiermit nach:
    https://mobilsicher.de/apps/e-mail-app-bluemail-im-test#Bluemail2

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.