Android Archives – S'GATE- e.U.

Category Archives: Android

TypeAPP, BlueMail und Mail.ru: Kennwörter werden an Entwickler der App übermittelt

Der E-Mail-Client sollte mit Bedacht gewählt werden. Drei Apps für Android übermitteln die Kennwörter an den Anbieter der App. Der Entdecker des Sicherheitsrisikos rät zur Deinstallation der Apps und zur Zurücksetzung des E-Mail-Kennworts.

Das ist wohl nicht im Sinne der Nutzer. Die drei E-Mail-Clients Blue Mail, Type App und Mail.ru übermitteln die Kennwörter zur Anmeldung im E-Mail-Postfach an die Anbieter der App. Das hat der Sicherheitsexperte Mike Kuketz bemerkt.

Für das Online-Magazin Mobilsicher testet er gerade E-Mail-Apps und ist dabei auf das Problem gestoßen. Bei der Einrichtung der Apps wird die E-Mail-Adresse zusammen mit dem Kennwort im Klartext an den Anbieter der Anwendung übertragen. Kuketz weist darauf hin, dass sich der Anbieter der Blue-Mail-App die Genehmigung zum Sammeln der Anmeldedaten in der Datenschutzerklärung einholt. In der Praxis wird das kaum ein Nutzer lesen.

Kuketz sieht Verbindung zwischen den beiden Apps

Kuketz geht davon aus, dass Blue Mail und Type App von den gleichen Entwicklern stammen, denn das Post-Request ist bei beiden bis auf eine andere URL nahezu identisch. In den Play-Store-Beschreibungen werden allerdings unterschiedliche Entwickler genannt. Nur bei der Type App wird eine Postanschrift in den USA genannt. Daher lässt sich derzeit nicht zweifelsfrei klären, ob die gleichen Anbieter dahinter stecken.

Alle E-Mail-Clients haben vergleichsweise viele positive Bewertungen im Play Store. Blue Mail kommt auf 5 bis 10 Millionen Installationen, Type App hat es auf 1 bis 5 Millionen Installationen geschafft. Bei Mail.ru sind es sogar 10 bis 50 Millionen Installationen. Alle Apps haben also eine vergleichsweise starke Verbreitung.

Auch E-Mail-Adressen landen beim App-Anbieter

Laut Kuketz liest zumindest Blue Mail noch weitere vertrauliche Daten aus. So werden alle E-Mail-Adressen aus dem Postfach ermittelt und an den Betreiber gesendet. Er vermutet, dass sich damit die App finanziert, die kostenlos ohne Werbeschaltungen angeboten wird. Ob auch Type App Adressdaten ausliest, hat Kuketz noch nicht mitgeteilt. In Kürze soll auf Mobilsicher ein Test verschiedener E-Mail-Clients erscheinen.

Kuketz empfiehlt Betroffenen, die Apps zu deinstallieren und auf eine andere E-Mail-App zu wechseln. Hierbei empfiehlt er derzeit den E-Mail-Client K9 Mail. Außerdem solle das alte E-Mail-Kennwort ausgemustert und ein neues festgelegt werden, damit die App-Anbieter keinen Zugriff mehr auf das eigene E-Mail-Postfach haben.

Nachtrag vom 7. März 2018

Kuketz hat die Übermittlung des Kennworts in einer weiteren E-Mail-App bemerkt. Mail.ru überträgt an den App-Anbieter ebenfalls alle Zugangsdaten für das eingerichtete E-Mail-Postfach. Der Meldungstext wurde aktualisiert. In der ursprünglichen Fassung war nur von zwei Apps die Rede, die so reagieren.

Quelle:

https://www.golem.de/news/e-mail-clients-fuer-android-kennwoerter-werden-im-klartext-an-betreiber-uebermittelt-1803-133172.html

 

 

Share