08.03.2018 Diverse E-Mail Apps geben Passwörter weiter

"Passwörter im Klartext klauen geht gar nicht"

Wir wissen ja alle, dass wir viele "kostenlose" Apps mit unseren Daten bezahlen - und viele lassen sich auf dieses böse Spiel ein. Aber Datenklau kann man doch auch "sicher" machen ;-))

Der Sicherheitsexperte Mike Kuketz testet für das Online-Magazin Mobilsicher gerade E-Mail-Apps für Android Smartphones. Dabei hat er festgestellt, dass eine ganze Reihe dieser Apps die Kennwörter zur Anmeldung beim E-Mail-Anbieter an ihre Hersteller übertragen - und einige sogar im Klartext ohne Verschlüsselung. 

Das betrifft nach seinen Recherchen die E-Mail-Clients

Während die meisten dieser Apps das ohne "Wissen" der Nutzer machen, hat sich der Anbieter der Blue-Mail-App die Genehmigung zum Sammeln der Anmeldedaten in der Datenschutzerklärung eingeholt, der man mit dem Herunterladen der App zugestimmt hat. Hat dies auch Jede/r gelesen? ;-))

Schlimmerweise haben die oben genannten Apps viele positive Bewertungen im Play Store. Blue Mail kommt dort auf 5 bis 10 Millionen Installationen, Type App und Email App for Any Mail haben es auf 1 bis 5 Millionen Installationen geschafft. Bei myMail und Mail.ru sind es sogar 10 bis 50 Millionen Installationen.

Bei seinen Untersuchungen hat Kuketz ermittelt, dass die App Blue Mail noch weitere vertrauliche Daten von ihren Nutzern ausliest. So werden alle E-Mail-Adressen aus dem Postfach an den Hersteller gesendet.

Wir können nur empfehlen diese Apps zu deinstallieren und auf eine andere E-Mail-App zu wechseln. Wir haben gute Erfahrungen mit dem E-Mail-Client K9 Mail.gemacht, der mit der App OpenKeyChain auch leicht verschlüsselte Mails verarbeiten kann.

Mehr dazu bei https://www.golem.de/news/e-mail-clients-fuer-android-kennwoerter-werden-im-klartext-an-betreiber-uebermittelt-1803-133172.html
und https://www.kuketz-blog.de/mail-apps-zahlreiche-android-apps-uebermitteln-login-passwort/
und wir holen den Verweis auf mobilsicher ebenfalls gern nach https://mobilsicher.de/apps/e-mail-app-bluemail-im-test#Bluemail2


Kommentar: RE: 20180308 Diverse E-Mail Apps geben Passwörter weiter

Das mit dem "Klartext" ist etwas missverständlich. Die Blue Mail App überträgt sämtliche Daten TLS-Verschlüsselt - für einen Dritten, der sich dazwischen schaltet, sind die Passwörter also nicht ohne weiteres lesbar.
Aber darüberhinaus sind sie eben nicht verschlüsselt, d.h. nicht gehasht oder anderweitig codiert. Blue Mail kann sie also lesen, sobald sie dort auf dem Server angekommen sind. Das ist unser Hauptkritikpunkt.
Blue Mail hat übrigens inzwischen reagiert und nach zwei erfolglosen Updates nun mit Version 1.9.4.2 ein Update gebracht, in dem die Login-Daten nicht mehr übertragen werden.
Es wäre auch toll gewesen, wenn der Autor den eigentlichen Test auf der Seite von mobilsicher.de verlinkt hätte. Hole ich hiermit nach:
https://mobilsicher.de/apps/e-mail-app-bluemail-im-test#Bluemail2

Miriam (Redaktion mobilsicher), 08.03.2018 21:24


Kategorie[21]: Unsere Themen in der Presse Short-Link dieser Seite: a-fsa.de/d/2Tw
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/6395-20180308-diverse-e-mail-apps-geben-passwoerter-weiter.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/6395-20180308-diverse-e-mail-apps-geben-passwoerter-weiter.htm
Tags: #Cyberwar #Hacking #Trojaner #Cookies #Verschlüsselung #Smartphone #Handy #E-Mail #Android #Google #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Datenpannen #Datenskandale #Datenklau
Erstellt: 2018-03-08 09:53:44
Aufrufe: 1582

Kommentar abgeben

Für eine weitere vertrauliche Kommunikation empfehlen wir, unter dem Kommentartext einen Verweis auf einen sicheren Messenger, wie Session, Bitmessage, o.ä. anzugeben.
Geben Sie bitte noch die im linken Bild dargestellte Zeichenfolge in das rechte Feld ein, um die Verwendung dieses Formulars durch Spam-Robots zu verhindern.

Wir im Web2.0


Diaspora Mastodon Twitter Youtube Tumblr Flickr FsA Wikipedia Facebook Bitmessage FsA Song


Impressum  Datenschutz  Sitemap