Sorry, most articles are not available in English yet
"Passwörter im Klartext klauen geht gar nicht"
Wir wissen ja alle, dass wir viele "kostenlose" Apps mit unseren Daten bezahlen - und viele lassen sich auf dieses böse Spiel ein. Aber Datenklau kann man doch auch "sicher" machen ;-))
Der Sicherheitsexperte Mike Kuketz testet für das Online-Magazin Mobilsicher gerade E-Mail-Apps für Android Smartphones. Dabei hat er festgestellt, dass eine ganze Reihe dieser Apps die Kennwörter zur Anmeldung beim E-Mail-Anbieter an ihre Hersteller übertragen - und einige sogar im Klartext ohne Verschlüsselung.
Das betrifft nach seinen Recherchen die E-Mail-Clients
- Blue Mail,
- Type App,
- myMail,
- Email - Fast & Secure mail for Gmail Outlook & more,
- Email App for Any Mail und
- Mail.ru
Während die meisten dieser Apps das ohne "Wissen" der Nutzer machen, hat sich der Anbieter der Blue-Mail-App die Genehmigung zum Sammeln der Anmeldedaten in der Datenschutzerklärung eingeholt, der man mit dem Herunterladen der App zugestimmt hat. Hat dies auch Jede/r gelesen? ;-))
Schlimmerweise haben die oben genannten Apps viele positive Bewertungen im Play Store. Blue Mail kommt dort auf 5 bis 10 Millionen Installationen, Type App und Email App for Any Mail haben es auf 1 bis 5 Millionen Installationen geschafft. Bei myMail und Mail.ru sind es sogar 10 bis 50 Millionen Installationen.
Bei seinen Untersuchungen hat Kuketz ermittelt, dass die App Blue Mail noch weitere vertrauliche Daten von ihren Nutzern ausliest. So werden alle E-Mail-Adressen aus dem Postfach an den Hersteller gesendet.
Wir können nur empfehlen diese Apps zu deinstallieren und auf eine andere E-Mail-App zu wechseln. Wir haben gute Erfahrungen mit dem E-Mail-Client K9 Mail.gemacht, der mit der App OpenKeyChain auch leicht verschlüsselte Mails verarbeiten kann.
Mehr dazu bei https://www.golem.de/news/e-mail-clients-fuer-android-kennwoerter-werden-im-klartext-an-betreiber-uebermittelt-1803-133172.html
und https://www.kuketz-blog.de/mail-apps-zahlreiche-android-apps-uebermitteln-login-passwort/
und wir holen den Verweis auf mobilsicher ebenfalls gern nach https://mobilsicher.de/apps/e-mail-app-bluemail-im-test#Bluemail2
Kommentar: RE: 20180308 Diverse E-Mail Apps geben Passwörter weiter
Das mit dem "Klartext" ist etwas missverständlich. Die Blue Mail App überträgt sämtliche Daten TLS-Verschlüsselt - für einen Dritten, der sich dazwischen schaltet, sind die Passwörter also nicht ohne weiteres lesbar.
Aber darüberhinaus sind sie eben nicht verschlüsselt, d.h. nicht gehasht oder anderweitig codiert. Blue Mail kann sie also lesen, sobald sie dort auf dem Server angekommen sind. Das ist unser Hauptkritikpunkt.
Blue Mail hat übrigens inzwischen reagiert und nach zwei erfolglosen Updates nun mit Version 1.9.4.2 ein Update gebracht, in dem die Login-Daten nicht mehr übertragen werden.
Es wäre auch toll gewesen, wenn der Autor den eigentlichen Test auf der Seite von mobilsicher.de verlinkt hätte. Hole ich hiermit nach:
https://mobilsicher.de/apps/e-mail-app-bluemail-im-test#Bluemail2
Miriam (Redaktion mobilsicher), 08.03.2018 21:24
Category[21]: Unsere Themen in der Presse Short-Link to this page: a-fsa.de/e/2Tw
Link to this page: https://www.aktion-freiheitstattangst.org/de/articles/6395-20180308-diverse-e-mail-apps-geben-passwoerter-weiter.htm
Link with Tor: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/6395-20180308-diverse-e-mail-apps-geben-passwoerter-weiter.htm
Tags: #Cyberwar #Hacking #Trojaner #Cookies #Verschlüsselung #Smartphone #Handy #E-Mail #Android #Google #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Datenpannen #Datenskandale #Datenklau
Created: 2018-03-08 09:53:44
Kommentar abgeben