E-Mail-Clients für Android: Kennwörter werden an App-Entwickler übermittelt

Der E-Mail-Client sollte mit Bedacht gewählt werden. Mehrere Apps für Android haben die Kennwörter an den Anbieter der App übermittelt, wie der Sicherheitsexperte Mike Kuketz entdeckt hat.

Artikel veröffentlicht am ,
Drei Android-E-Mail-Clients übermitteln Kennwörter an den Betreiber.
Drei Android-E-Mail-Clients übermitteln Kennwörter an den Betreiber. (Bild: Dado Ruvic/Reuters)

So etwas ist nicht im Sinne der Nutzer. Die E-Mail-Clients Blue Mail, Type App, myMail, Email - Fast & Secure mail for Gmail Outlook & more, Email App for Any Mail und Mail.ru haben die Kennwörter zur Anmeldung im E-Mail-Postfach an die Anbieter der App übermittelt. Das hat der Sicherheitsexperte Mike Kuketz bemerkt. Bei den beiden Apps Blue Mail und Type App ist das Problem mittlerweile behoben.

Stellenmarkt
  1. Mitarbeiter First Level Support IT (m/w/d)
    Securiton GmbH Alarm- und Sicherheitssysteme, Achern
  2. VIP Account Manager (m/w/d)
    InnoGames GmbH, Hamburg
Detailsuche

Kuketz stieß auf das Problem, als er für das Online-Magazin Mobilsicher E-Mail-Apps testete. Bei der Einrichtung der Apps wurde die E-Mail-Adresse zusammen mit dem Kennwort an den Anbieter der Anwendung übertragen. Kuketz wies darauf hin, dass sich der Anbieter der Blue-Mail-App die Genehmigung zum Sammeln der Anmeldedaten in der Datenschutzerklärung einholte, was in der Praxis wohl kaum ein Nutzer lesen wird.

Kuketz sah Verbindung zwischen Apps

Kuketz ging davon aus, dass Blue Mail und Type App von denselben Entwicklern stammen, da das Post-Request bei beiden bis auf eine andere URL nahezu identisch war. In den Play-Store-Beschreibungen werden allerdings unterschiedliche Entwickler genannt.

Alle E-Mail-Clients haben vergleichsweise viele positive Bewertungen im Play Store. Blue Mail kommt auf 5 bis 10 Millionen Installationen, Type App und Email App for Any Mail haben es auf 1 bis 5 Millionen Installationen geschafft. Bei myMail und Mail.ru sind es sogar 10 bis 50 Millionen Installationen. Alle Apps haben also eine vergleichsweise starke Verbreitung.

Auch E-Mail-Adressen landeten beim App-Anbieter

Golem Akademie
  1. Jira für Anwender: virtueller Ein-Tages-Workshop
    10. November 2021, virtuell
  2. LDAP Identitätsmanagement Fundamentals: virtueller Drei-Tage-Workshop
    , Virtuell
Weitere IT-Trainings

Laut Kuketz las zumindest Blue Mail noch weitere vertrauliche Daten aus. So wurden alle E-Mail-Adressen aus dem Postfach ermittelt und an den Betreiber gesendet. Er vermutete, dass sich damit die App finanzierte, die kostenlos ohne Werbeschaltungen angeboten wird. In Kürze soll auf Mobilsicher ein Test verschiedener E-Mail-Clients erscheinen.

Kuketz empfahl Betroffenen, die Apps zu deinstallieren und auf eine andere E-Mail-App zu wechseln. Hierbei empfiehlt er derzeit den E-Mail-Client K9 Mail. Außerdem solle das alte E-Mail-Kennwort ausgemustert und ein neues festgelegt werden, damit die App-Anbieter keinen Zugriff mehr auf das eigene E-Mail-Postfach haben.

Der Anbieter von Blue Mail reagierte zunächst am 8. März 2018 mit einer Pressemitteilung und bestritt darin, dass das Unternehmen über die App die Kennwörter der Nutzer gesendet bekäme oder gesammelt hätte. Auch würden keine E-Mails der Nutzer auf den Servern des Anbieters gesammelt. Kuketz sah sich das Verhalten der App nach der Aktualisierung an und stellte fest: Blue Mail sendete weiterhin das Kennwort an den Anbieter der App.

In einem zweiten Anlauf aktualisiert der Anbieter von Blue Mail die App so, dass keine Zugangsdaten für E-Mails mehr an den Anbieter gesendet werden. Dies bestätigte Kuketz in einem Blogbeitrag. Auch die Anbieter von Type App haben reagiert und den Versand von Kennwörtern abgeschaltet. Kuketz bestätigte Golem.de auf Anfrage, dass auch Type App die Kennwörter nicht mehr versendet. Trotz dieser Änderungen würde er beiden Anbietern nicht mehr vertrauen.

Nachtrag vom 16. März 2018, 8:58 Uhr

Die Anbieter der Apps Blue Mail und Type App haben das Problem inzwischen behoben, der Artikel wurde entsprechend aktualisiert. Darüber hinaus wurden die Daten an Blue Mail nicht im Klartext übermittelt, wie wir zunächst vermeldet hatten. Wir haben den Text entsprechend korrigiert und bitten diesen Fehler zu entschuldigen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


pommesmatte 15. Mär 2018

Es steht allerdings explizit in den Nutzungsbedingungen drin.

renegade334 14. Mär 2018

Einrichtung: - Unter XSDL Schriftmaßstab auf 0,5x und Auflösung auf 850x480 setzen...

berritorre 09. Mär 2018

Danke, das hat dann mal geholfen. Ich dachte man könnte sich irgendwo ein Icon suchen und...

anonym 08. Mär 2018

offensichtlich ja (nine): http://release-notes.9folders.com/articles/15344-v401-imap4-idle

berritorre 08. Mär 2018

Ja, Gmail habe ich auch auf meinen Moto G5. Ich habe Gmail einfach nicht als normalen...



Aktuell auf der Startseite von Golem.de
Razer Zephyr im Test
Gesichtsmaske mit Stil bringt nicht viel

Einmal Cyberpunk mit Beleuchtung bitte: Tragen wir Razers Zephyr in der U-Bahn, fallen wir auf. Allerdings ist das Produkt nicht ausgereift.
Ein Test von Oliver Nickel

Razer Zephyr im Test: Gesichtsmaske mit Stil bringt nicht viel
Artikel
  1. Energiewende: Rohstoffkosten sorgen für Umbruch auf dem Akkumarkt
    Energiewende
    Rohstoffkosten sorgen für Umbruch auf dem Akkumarkt

    Hohe Rohstoffpreise stoppen den Fall der Akkupreise. Neue Rekordpreise bei Lithium werden Akkus 2022 sogar teurer machen.
    Eine Analyse von Frank Wunderlich-Pfeiffer

  2. Zip: Ratenzahlung in Microsoft Edge empört die Community
    Zip
    Ratenzahlung in Microsoft Edge empört die Community

    Die App Zip wird seit Microsoft Edge 96 standardmäßig aktiviert. Diese bietet Ratenzahlung an, schürt aber nur Hass in der Community.

  3. Science-fiction: Bethesda zeigt mehr von Starfield
    Science-fiction
    Bethesda zeigt mehr von Starfield

    Abenteuer im Weltraum mit halbwegs glaubwürdiger Technologie soll Starfield bieten. Jetzt hat Bethesda einen neuen Trailer veröffentlicht.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Last Minute Angebote bei Amazon • Crucial-RAM zu Bestpreisen (u. a. 16GB Kit DDR4-3600 73,99€) • HP 27" FHD 165Hz 199,90€ • Razer Iskur X Gaming-Stuhl 239,99€ • Adventskalender bei MM/Saturn (u. a. Surface Pro 7+ 849€) • Alternate (u. a. Adata 1TB PCIe-4.0-SSD für 129,90€) [Werbung]
    •  /