Sicherheit Archives – S'GATE- e.U.

Category Archives: Sicherheit

TypeAPP, BlueMail und Mail.ru: Kennwörter werden an Entwickler der App übermittelt

Der E-Mail-Client sollte mit Bedacht gewählt werden. Drei Apps für Android übermitteln die Kennwörter an den Anbieter der App. Der Entdecker des Sicherheitsrisikos rät zur Deinstallation der Apps und zur Zurücksetzung des E-Mail-Kennworts.

Das ist wohl nicht im Sinne der Nutzer. Die drei E-Mail-Clients Blue Mail, Type App und Mail.ru übermitteln die Kennwörter zur Anmeldung im E-Mail-Postfach an die Anbieter der App. Das hat der Sicherheitsexperte Mike Kuketz bemerkt.

Für das Online-Magazin Mobilsicher testet er gerade E-Mail-Apps und ist dabei auf das Problem gestoßen. Bei der Einrichtung der Apps wird die E-Mail-Adresse zusammen mit dem Kennwort im Klartext an den Anbieter der Anwendung übertragen. Kuketz weist darauf hin, dass sich der Anbieter der Blue-Mail-App die Genehmigung zum Sammeln der Anmeldedaten in der Datenschutzerklärung einholt. In der Praxis wird das kaum ein Nutzer lesen.

Kuketz sieht Verbindung zwischen den beiden Apps

Kuketz geht davon aus, dass Blue Mail und Type App von den gleichen Entwicklern stammen, denn das Post-Request ist bei beiden bis auf eine andere URL nahezu identisch. In den Play-Store-Beschreibungen werden allerdings unterschiedliche Entwickler genannt. Nur bei der Type App wird eine Postanschrift in den USA genannt. Daher lässt sich derzeit nicht zweifelsfrei klären, ob die gleichen Anbieter dahinter stecken.

Alle E-Mail-Clients haben vergleichsweise viele positive Bewertungen im Play Store. Blue Mail kommt auf 5 bis 10 Millionen Installationen, Type App hat es auf 1 bis 5 Millionen Installationen geschafft. Bei Mail.ru sind es sogar 10 bis 50 Millionen Installationen. Alle Apps haben also eine vergleichsweise starke Verbreitung.

Auch E-Mail-Adressen landen beim App-Anbieter

Laut Kuketz liest zumindest Blue Mail noch weitere vertrauliche Daten aus. So werden alle E-Mail-Adressen aus dem Postfach ermittelt und an den Betreiber gesendet. Er vermutet, dass sich damit die App finanziert, die kostenlos ohne Werbeschaltungen angeboten wird. Ob auch Type App Adressdaten ausliest, hat Kuketz noch nicht mitgeteilt. In Kürze soll auf Mobilsicher ein Test verschiedener E-Mail-Clients erscheinen.

Kuketz empfiehlt Betroffenen, die Apps zu deinstallieren und auf eine andere E-Mail-App zu wechseln. Hierbei empfiehlt er derzeit den E-Mail-Client K9 Mail. Außerdem solle das alte E-Mail-Kennwort ausgemustert und ein neues festgelegt werden, damit die App-Anbieter keinen Zugriff mehr auf das eigene E-Mail-Postfach haben.

Nachtrag vom 7. März 2018

Kuketz hat die Übermittlung des Kennworts in einer weiteren E-Mail-App bemerkt. Mail.ru überträgt an den App-Anbieter ebenfalls alle Zugangsdaten für das eingerichtete E-Mail-Postfach. Der Meldungstext wurde aktualisiert. In der ursprünglichen Fassung war nur von zwei Apps die Rede, die so reagieren.

Quelle:

https://www.golem.de/news/e-mail-clients-fuer-android-kennwoerter-werden-im-klartext-an-betreiber-uebermittelt-1803-133172.html

 

 

Share

Vorsicht bei Entsorgung alter Handys

Immer wieder kommt es vor, das alte Handys im Müll oder und hoffentlich bei einer Entsorgungsstelle landen. Oft wird darauf vergessen die Geräte entsprechend in ihren Auslieferungszustand zurückzuversetzen.

Ich habe selbst einen Test gemacht und ein altes Nokia Handy mitgenommen – optisch wie neu ohne Gebrauchsspuren – so ein Klassiker hat etwas und das 8110 erinnert an die Matrix-Filme.

Nokia 8110

Nach ca. 30 Minuten am Ladegerät beginnt der Akku zu laden und ich kann es kaum erwarten das Gerät einzuschalten: Und siehe da – keine Sperre aktiviert – Gerät funktioniert. Nach ein paar Sekunden bin ich im SMS-Verlauf, da diese im Gerät gespeichert werden. Zu sehen bekomme ich Telefonnummern und Nachrichten. Kontakte wurde vom Vorbesitzer nur auf SIM-Karte gespeichert, die zumindest entnommen wurde.

Grundsätzlich sind mir „Kundendaten“ heilig und ich setze das Gerät auf die Werkseinstellungen zurück.

Bitte denken Sie daran Datenträger in welcher Form auch immer (Handys, Festplatten, USB-Sticks, Speicherkarten, CDs und DVDs, DigiCams, etc.) vor der Entsorgung zu löschen.

Share

Analysiert: Alte Masche, neue Verpackung – Infektion durch PDFs

Manipulierte Word-Dokumente sind bei Kriminellen beliebt, um Computer mit Malware zu infizieren. Dass auch PDF-Dateien ausführbaren Code enthalten können, ist hingegen ein wenig in Vergessenheit geraten. Eine unlängst grassierende Spam-Kampagne ist ein guter Grund, sich diese Gefahr anhand eines frischen Samples in Erinnerung zu rufen.

Quelle: Analysiert: Alte Masche, neue Verpackung – Infektion durch PDFs

Share