Android: Mail-Apps TypeApp & Blue Mail sollen Kennwörter an Betreiber senden

Mike Kuketz, unter anderem Lehrbeauftragter für IT-Sicherheit an der dualen Hochschule Karlsruhe, warnt in seinem Blog vor zwei Mail-Clients auf der Android-Plattform. Konkret handelt es sich dabei um „Blue Mail – Email & Kalender App“ und „Email TypeApp – Mail & Calendar“. Zuerst genannte App kommt auf  5 bis 10 Millionen Installationen bei 4,6 Sternen, während die andere App 1 bis 5 Millionen Installationen auf der Uhr hat – bei ebenfalls 4,6 Sternen.

Kuketz warnt, dass beide Apps Mail-Adressen und Passwörter an den Betreiber übermitteln würden – im Klartext. Bedeutet also, dass ihr die Daten in die Hände des Betreibers gebt. Das machen einige Apps so, allerdings kommt da zumindest eine Verschlüsselung des Passworts zum Einsatz.

Ich habe das Ganze mal nachvollziehen wollen und konnte feststellen, dass beim standardmäßig im System verankerten Gmail-Konto freilich nicht Mail-Adresse und Passwort im Klartext erfragt wird, stattdessen wird hier, wie üblich, zu OAuth gegriffen, dennoch gibt man der App aber Zugriff auf Mail, Kontakte und Kalender.

Im Beitrag von Kuketz heißt es weiter:Hinter TypeApp und Blue Mail stecken also vermutlich identische Betreiber – das lässt schon fast darauf schließen, dass hier gezielt nach E-Mail-Adressen inklusive den dazugehörigen Passwörtern gefischt wird„. Sein „vermutlich“ wird sicher passen. Dies kann man innerhalb einer Minute selber herausfinden, indem man in die Terms of Service von TypeApp schaut, dort wird auch Blue genannt, zudem haben die Webseiten eine große Ähnlichkeit..

Nutzer der App haben nun diverse Möglichkeiten. Sie können nun die Betreiber mal befragen, warum die Passwörter im Klartext übermittelt werden, bzw. was es genau damit auf sich hat. Alternativ ist ein Wechsel auf andere Clients möglich, K-9 Mail ist auf Android sehr beliebt. Des Weiteren sollte man dann vielleicht auch das Passwort zum Mail-Konto ändern und im Falle von Google Mail den Zugriff widerrufen.

BlueMail selber widerspricht den Vorwürfen.

Aktivieren Sie JavaScript um das Video zu sehen.
Video-Link: https://twitter.com/BlueMail/status/971102269323214849

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

67 Kommentare

  1. Immer wieder stellt sich mir die Frage: Wer braucht eigentlich diese Apps von irgendwelchen Nischen-Anbietern? Wieso werden sie genutzt?

    • Mehrere Konten, mehrere Features, Vorlieben, Verzahnung. Viele Möglichkeiten.

      • Geht mit Google Mail, geht mit Outlook. Ich vertraue kleinen Software-Klitschen nicht.

        • Kann ich nachvollziehen 🙂

        • Jo, die Kleinen werden nicht genutzt oder werden von den Großen geschluckt. Schöne neue big-data-Welt der Konzerne.

        • Zumindest bei Android ist Outlook allerdings auch nicht gerade die ideale Wahl; da läuft auch alles über deren Server. Oder ist das mittlerweile anders?

        • Outlook (die Android-App) ist nicht von MS, sondern auch von einer „kleinen Software-Klitsche“. Von MS aufgekauft, ja, aber angeblich weiterhin ein eigenes Team, was die Passwörter auf ihren eigenen Servern speichert. Ich traue auch MS nicht, was für mich die Outlook-App in doppelter Hinsicht zum NoGo werden lässt. Kleinen Software-Firmen bringe ich zwar grundsätzlich mehr Vertrauen entgegen, aber nicht wenn sie meine Zugangsdaten auf ihren Servern speichern.
          Gibt ja auch wirklich genug Alternativen, die die Passwörter lokal im Gerät speichern, „Nine“ zB finde ich für ein Exchange-Konto super, und selbst die Android-Exchange Integration speichert

      • Wieso sollte man für verschiedene Emailkonten jeweils eigene Apps installieren?

    • Ich nutze zum Beispiel nine. Teuer aber ich habe sonst keinen Anbieter für Exchange Mails gefunden, bei dem ich einstellen kann, wann Mails abgerufen werden sollen (push) und wann gar nicht (Nacht und Wochenende). Da mein dual sim Handy privat und beruflich genutzt wird, will ich aber die Arbeitsmails nur von 6 bis 20 Uhr sehen…. Daher auch zwei Apps. Habe noch keine bessere Lösung gefunden.

    • Kann ich dir sagen: weil die bekannten Clients alle kein „Clustern nach Absender“ beherrschen. Das höchste der Gefühle ist, dass man die Mails nach Absendern sortiert kriegt. Aber mal 10 Mails eines Absenders mit einem Wisch archivieren oder löschen ist nicht drin.

      Ist für die Generation „ich hol meine Mails alle 15 Minuten ab“ nicht so wichtig, ich geh den ganzen Kram einmal in der Woche durch, da ist das viel spannender.

  2. Heisenberg says:

    Selber schuld für diese Leute ein Exchange fähiger Client ist doch Default in Board, nennt sich Gmail!

  3. Ich nutze AquaMail und bin ganz zufrieden.

    • Ich habe viel probiert, bin dann auch bei Aquamail hängen geblieben. Am liebsten hätte ich allerdings den Standard-iOS-Mailclient auf Android, gut und simpel. Ich hoffe nur, Aquamail fängt nicht irgendwann so einen Schwachsinn mit „intelligenten“ Filtern an wie Outlook für Android. Das mag bei manchem funktionieren, ich finde es grauenvoll.

    • Schwuppps says:

      Jo … bis heute war ich auch zufrieden mit Blue-Mail … und nu?
      Wem soll Deine Antwort weiterhelfen, wenn Zufriedenheit das einzige Argument ist?

    • Kann Aquamail clustern, so dass ich in einem Schwung alle Nachrichten eines Newsletters oder von dem Blog hier löschen kann? Geht unified Inbox? Kann das ordentlich archivieren?

  4. Man nutzt einfach keine apps, die nicht in fdroid sind…

  5. Ist Blue Mail nicht der Client, der alle Mails per Default über den Server des Betreibers routet? Daher ja verständlich, dass Zugangsdaten im Klartext übertragen werden müssen. Was natürlich aus Privacy-Sicht eine ganz beschissene Idee ist, vor allem da die Mails ja beim eigenen Mailserver sowieso schon auf einem Server liegen. Doppelt macht es in diesem Fall nicht besser

  6. Bin vor einiger Zeit auf eigene Domain und synology umgestiegen. Ich hoffe die Schnüfflelei damit einzudämmen

  7. Outlook für Android macht viel richtig, ebenso Gmail. Wer viele Konten nutzt und spezielle Features sucht, sucht aber vielleicht etwas anderes. Da hat man schlicht weniger Auswahl als bei iOS, wo sich gute Mail Clients die Klinke in die Hand drücken. Selbst nutze ich Outlook mit 3 Konten. Jedoch funktioniert der Archivordner nicht in Verbindung mit unserer Exchange Ordnung. Zero Inbox ist nicht.

    • Outlook schickt deine Daten auch über MS-Server…

      Das Thema kocht immer mal wieder hoch hier im Blog; ka warum dieser andere Blog jetzt etwas neues erzählt… Der Hinweis auf die gleiche Firma ist weit weniger dubios als hier getan wird – zumindest auf Nachfrage wird die Zusammengehörigkeit bestätigt.

      • Ich halte es schon für dubios. Vielleicht auch, weil es sich mir nicht erschließt, warum man die gleiche App mit einem anderen Namen und einer anderen Firma an den Start bringen muss.

    • Bei Outlook seh ich das anders: Outlook (die Android-App) ist nicht von MS, sondern auch von einer kleinen Software-Klitsche. Von MS aufgekauft, ja, aber angeblich weiterhin ein eigenes Team, was die Passwörter auf ihren eigenen Servern speichert.
      Die Integration verschiedener Protokolle in das System ist bei Android so gut gemacht, dass es für die meisten User reicht, daher mag die Auswahl an Mail Clients geringer sein, als bei iOS. Aber gute Mail Clients gibts trotzdem darüber hinaus eine ganze Reihe: Nine, Aquamail, K9 fallen mir spontan ein, gibt aber auch noch mehr.

  8. Aqua Mail ist auch meine Wahl.

    Gab’s neulich mal mit ordentlich Rabatt und seitdem hab ich das altbackene und verbuggte K9 Mail in Rente geschickt. FOSS ist leider nicht immer die erste Wahl.

    Eye Candy ist zwar nicht ausschlaggebend aber nice to have. Außerdem kommt z.B. K9 Mail immer noch nicht mit Exchange 2010+ klar, für mich ein klares Ausschlusskriterium.

    Und ganz ehrlich, niemand mit dem ich noch vertrauliche Informationen austausche nutzt Mail mit PGP, dafür gibt’s wirklich bessere Lösungen (Wire z.B.). Kann ich also auch gut drauf verzichten, daher ist es mir ziemlich schnuppe ob ein Android Mail Client das unterstützt oder nicht.

  9. Ich nutze auch Aquamail. Würde mich sehr interessieren, ob auch bei Aquamail Passwörter im Klartext übermittelt werden. Weiss jemand wie man das nachprüft?

    • Du loggst alle Pakets in deinem Netzwerk mit und durchsuchst die Paket von Aquamail nach deinen Zugangsdaten. Klartext rauszufinden ist echt einfach. Schwieriger wirds zu überprüfen, wenn der Mailclient die Zugangsdaten verschlüsselt überträgt.

      Sprich: nur weil du keine Daten beim Überwachen findest, heißt es noch lange nicht, dass du deinem Client vertrauen kannst.

  10. Basetuner says:

    In MailDroid kann man solche Benachrichtigungsregeln nach Uhrzeit und Konten einstellen. 😉

  11. So verbuggt ist K9 auch nicht. Hat mich noch nie im Stich gelassen. Aktuelle Versionen auf Github: https://github.com/k9mail/k-9/releases

  12. Gibt es denn, außer K9, eine andere sichere Alternative? Wie AquaMail, MailDroid,…? Weiß da jemand was über diese Clients?

    • Nein, es gibt keine sicheren Clients, es sei denn du hast sie selbst geschrieben. Bei K9 ist die Wahrscheinlichkeit höher, aber auch K9 kann dir ein Update unterschieben, das deine Passwörter abfließen lässt. Wird zwar irgendwann auffallen, aber bis dahin kann es auch dauern.

  13. In nutze seit längerem Inbox und die Gmail App. Das reicht mir für das mobile Dasein…

  14. Posteo als Anbieter, miCal als App…Posteo kostet 1€ pro Monat, miCal einmalig 4,99€. Alles super. Server in Deutschland, Passwörter sind gesalzen, also auch für den Prvider nicht einsehbar. Das ist mir meine private Kommunikation wert.

    • KeyserSoze says:

      Posteo & Mailbox.org sind Super,
      haben aber beide keine Android App, funktioniert nur
      umständlich über den Browser, ein großer Nachteil!
      Ich nutze trotzdem Mailbox.org & Outlook,
      wegen mangelnder Alternative,
      also Alles (App & Client) aus einer Hand.

  15. Hallo, ich bin Redakteur bei Mobilsicher und habe eine Nachfrage.
    Sie schreiben: „Ich habe das Ganze mal nachvollziehen wollen und konnte feststellen, dass beim standardmäßig im System verankerten Gmail-Konto freilich nicht Mail-Adresse und Passwort im Klartext erfragt wird, stattdessen wird hier, wie üblich, zu OAuth gegriffen, dennoch gibt man der App aber Zugriff auf Mail, Kontakte und Kalender.“
    -> Mir ist nicht ganz klar, was Sie meinen. Haben Sie ihr Gmail-Konto mit der Blue Mail-App verknüpft und gesehen, dass bei Gmail, anders als bei anderen Mail-Providern, das Problem nicht besteht? Das heißt, dass in Ihrem Test Mail-Adresse und Passwort bei einem Gmail-Konto nicht ungehasht übertragen wurde? Oder hab ich Sie da falsch verstanden?
    Besten Dank, mit freundlichen Grüßen, Stefan Mey

    • @Stefan: Ich schreibe dir eine Mail dazu.

      • Haiko Blöcher says:

        Ich bin kein Redakteur bei Mobilsicher sondern nur neugiereiger und interessierter Nutzer, aber diese Frage habe ich mir beim Lesen auch gestellt. Könnten Sie das vielleicht auch für die Blogleser hier beantworten oder ggf. erläutern wieso Sie das nicht für alle beantworten (können)?

        • Hallo Haiko, ich schrieb eine Mail, damit es nicht untergeht. Aber auch hier für dich auch einmal:

          „Bei einem vorliegenden Gmail- / Google-Konto wird eine OAUTH-Autorisierung durchgeführt.

          https://developers.google.com/gmail/api/auth/about-auth

          Der Nutzer übergibt also nicht Nutzernamen und Passwort an den Anbieter, sondern der bekommt „nur“ den besagten Zugriff. Wie das bei den anderen vorgegebenen Providern ist, ist mir nicht bekannt, aber da werden sicher auch einige OAUTH anbieten. Beim manuellen Anlegen eines Kontos – in eurem Falle war das GMX – muss eben der Server, Nutzername und das Passwort übergeben werden.“

  16. Schwuppps says:

    Heute Update bei Blue Mail:
    im Changelog steht
    „secured app: we do not send passwords to our
    servers, or to any 3rd parties. Emails are not stored on our servers.
    We use SSL and OAuth where applicabable (for Gmail,
    Yahoo, Outlook etc), so the email app does not have
    access to password. Client connects directly to mail
    server using IMAP/POP/SMTP/Exchange.“

    Kuketz hat mittlerweile noch weitere „Plaudertaschen“ identifiziert:
    https://www.kuketz-blog.de/mail-apps-zahlreiche-android-apps-uebermitteln-login-passwort/

    Er empfiehlt K-9-Mail, ABER wenn ich die Bewertungen da ansehe … Ogottogott.
    Open Source ist ja schön und gut, aber bei so viel Pannen …

    Was macht man bloß ?

    • Hi Schwuppps,

      hast du den Link zu dem Changelog vllt. noch?

      Ja, das Problem haben jetzt wohl einige mit ner neuen App. Anscheinend ist Nine und Aqua Mail auch nicht so prickelnd (wegen Datensammlung und Werbung über Google DoubleClick). Suuuper, wird ja immer besser…

      Vielleicht wartet man einfach bis der Hersteller reagiert? Keine Ahnung.

      Grüße Stefan

  17. Also ich weis manchmal nicht was ihr hier für einen Müll schreibt. Vielleicht hätte sich der Herr Kuketz mal ein wenig mit BlueMail auseinander gesetzt!!!!!

    Es ist eine offen beworbene Funktion dass man Accounts über mehrere Geräte hinweg synchronisieren kann!
    https://bluemail.help/how-to-sync-your-accounts-between-multiple-devices-what-is-sms-verification/

    Wie zur Hölle soll das funktionieren wenn man das Passwort nicht hat???

    • Schwuppps says:

      Aha … und warum schreibt dann Blue Mail so einen „Müll“ im Changelog ?

      Ich bin absoluter Laie und informiere mich bei Leuten, die es besser wissen sollten …

      Ich zitiere mal:
      „Kuketz IT-Security
      Pentests. Schwachstellen-Scans. Workshops.

      Ich prüfe Ihre IT-Systeme, Webanwendungen und Apps (Android, iOS) auf sicherheitsrelevante Schwachstellen und unterstütze Sie bei deren Behebung. Ferner schärfe ich durch Workshops und Schulungen das Sicherheits- und Datenschutzbewusstsein aller der in Ihrem Unternehmen beschäftigten Personen.“

      Der Vorwurf war ja wohl, dass die PW in Klartext gespeichert würden. Ich denke es sollte Verschlüsselungsmöglichkeiten geben, die das „lesen“ der PW seitens Blue Mail unmöglich macht.

      Online PW-Manager müssen ja auch in der Art funktionieren.

      • Vielleicht haben sie besagt Sync Funktion entfernt? Ich kann das nicht nachtesten, ich nutze BlueMail nicht.

        Um es nochmal festzuhalten, das die Passwörter im Klartext übertragen werden ist natürlich Bullshit!

  18. Der Kuketz-blog lügt sich mal wieder die Hosen voll.

  19. mobilsicher haben Blue Mail getestet – und waren entsetzt. Die App schickt Nutzername und Passwort an die eigenen Server. Auch noch NACH dem Update. Deinstallieren! Sofort!

    https://www.facebook.com/mobilsicher/posts/732439407143676

    Oder hier: https://mobilsicher.de/aktuelles/sicherheits-desaster-mail-apps-uebertragen-passwoerter

  20. Wow, jetzt legt sich Blue Mail aber ins Zeug. Noch ein Update, heute Nacht auf 1.9.4.2. Mike war fleißig und hat es geprüft: Voila, keine Übertragung von Passwort und Nutzername bei vernknüpftem GMX-Konto. Geht doch. Zu den anderen Kritikpunkten (siehe Test auf http://www.mobilsicher.de) wurden allerdings nichts gesagt.

    • Haiko Blöcher says:

      Da TypeApp anscheinend vom selben Anbieter stammt, inzwischen auch Versionsnummer 1.9.4.2 trägt und das Changelog im Wesentlichen dem von Blue Mail gleicht, hat TypeApp auch die Übertragung eingestellt? Haben Sie das auch getestet? Auf Mobilsicher finde ich leider keine Angaben dazu.

      • Miriam (Redaktion mobilsicher) says:

        Nein, wir (bzw. Mike) hat die neue Version von TypeApp nicht getestet. Da TypeApp auch nicht von uns beauftragt war, bleibt das ihm überlassen, ob er das noch machen will. Allerdings glaube ich, die App ist nicht so weit verbreitet oder? Die Versions-Nummer ist auf jedenfall ein guter Hinweis, ich werde auf jedenfall mal bei Blue Mail nachfragen – wir sind ja in Kontakt.

  21. Wenns nur eine andere App gäbe, die verschiedene Mailkonten(& -typen), Unified Inbox und Clustern nach Sender beherrscht und nicht so einen Mist macht 🙁

    Kennt jemand eine?

  22. Die E-Mail App von 1&1? Für mich ist 1&1 seriös genug das ich denen vertraue.

  23. War lange Zeit auch überzeugte Nutzerin von Aqua Mail Pro. Da ich aber seit kurzem mit der App auf meinen beiden Android Geräten Probleme bekommen habe, bin ich gezwungernermaßen auf Erkundungstour nach einem sicheren Android E-Mail Clienten gegangen. Das meiste war sehr unerfreulich, leider auch die Entdeckung, dass Aqua Mail mittlerweile wohl auch nicht mehr unbedenklich ist https://www.android-hilfe.de/forum/aqua-mail.2241/aquamail-nun-mit-werbung-und-mal-nebenbei-geaenderter-privacy-policy.848164.html. Bin weiterhin auf der Suche, werde wohl aber Mal R2Mail2 testen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.