Android: Mail-Apps TypeApp & Blue Mail sollen Kennwörter an Betreiber senden

Mike Kuketz, unter anderem Lehrbeauftragter für IT-Sicherheit an der dualen Hochschule Karlsruhe, warnt in seinem Blog vor zwei Mail-Clients auf der Android-Plattform. Konkret handelt es sich dabei um „Blue Mail – Email & Kalender App“ und „Email TypeApp – Mail & Calendar“. Zuerst genannte App kommt auf  5 bis 10 Millionen Installationen bei 4,6 Sternen, während die andere App 1 bis 5 Millionen Installationen auf der Uhr hat – bei ebenfalls 4,6 Sternen.

Kuketz warnt, dass beide Apps Mail-Adressen und Passwörter an den Betreiber übermitteln würden – im Klartext. Bedeutet also, dass ihr die Daten in die Hände des Betreibers gebt. Das machen einige Apps so, allerdings kommt da zumindest eine Verschlüsselung des Passworts zum Einsatz.

Ich habe das Ganze mal nachvollziehen wollen und konnte feststellen, dass beim standardmäßig im System verankerten Gmail-Konto freilich nicht Mail-Adresse und Passwort im Klartext erfragt wird, stattdessen wird hier, wie üblich, zu OAuth gegriffen, dennoch gibt man der App aber Zugriff auf Mail, Kontakte und Kalender.

Im Beitrag von Kuketz heißt es weiter:Hinter TypeApp und Blue Mail stecken also vermutlich identische Betreiber – das lässt schon fast darauf schließen, dass hier gezielt nach E-Mail-Adressen inklusive den dazugehörigen Passwörtern gefischt wird„. Sein „vermutlich“ wird sicher passen. Dies kann man innerhalb einer Minute selber herausfinden, indem man in die Terms of Service von TypeApp schaut, dort wird auch Blue genannt, zudem haben die Webseiten eine große Ähnlichkeit..

Nutzer der App haben nun diverse Möglichkeiten. Sie können nun die Betreiber mal befragen, warum die Passwörter im Klartext übermittelt werden, bzw. was es genau damit auf sich hat. Alternativ ist ein Wechsel auf andere Clients möglich, K-9 Mail ist auf Android sehr beliebt. Des Weiteren sollte man dann vielleicht auch das Passwort zum Mail-Konto ändern und im Falle von Google Mail den Zugriff widerrufen.

BlueMail selber widerspricht den Vorwürfen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Seit 2008 ist es Beruf(ung). Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

65 Kommentare

  1. Immer wieder stellt sich mir die Frage: Wer braucht eigentlich diese Apps von irgendwelchen Nischen-Anbietern? Wieso werden sie genutzt?

    • Mehrere Konten, mehrere Features, Vorlieben, Verzahnung. Viele Möglichkeiten.

      • Geht mit Google Mail, geht mit Outlook. Ich vertraue kleinen Software-Klitschen nicht.

        • Kann ich nachvollziehen 🙂

        • Jo, die Kleinen werden nicht genutzt oder werden von den Großen geschluckt. Schöne neue big-data-Welt der Konzerne.

        • Zumindest bei Android ist Outlook allerdings auch nicht gerade die ideale Wahl; da läuft auch alles über deren Server. Oder ist das mittlerweile anders?

        • Outlook (die Android-App) ist nicht von MS, sondern auch von einer „kleinen Software-Klitsche“. Von MS aufgekauft, ja, aber angeblich weiterhin ein eigenes Team, was die Passwörter auf ihren eigenen Servern speichert. Ich traue auch MS nicht, was für mich die Outlook-App in doppelter Hinsicht zum NoGo werden lässt. Kleinen Software-Firmen bringe ich zwar grundsätzlich mehr Vertrauen entgegen, aber nicht wenn sie meine Zugangsdaten auf ihren Servern speichern.
          Gibt ja auch wirklich genug Alternativen, die die Passwörter lokal im Gerät speichern, „Nine“ zB finde ich für ein Exchange-Konto super, und selbst die Android-Exchange Integration speichert

      • Wieso sollte man für verschiedene Emailkonten jeweils eigene Apps installieren?

    • Ich nutze zum Beispiel nine. Teuer aber ich habe sonst keinen Anbieter für Exchange Mails gefunden, bei dem ich einstellen kann, wann Mails abgerufen werden sollen (push) und wann gar nicht (Nacht und Wochenende). Da mein dual sim Handy privat und beruflich genutzt wird, will ich aber die Arbeitsmails nur von 6 bis 20 Uhr sehen…. Daher auch zwei Apps. Habe noch keine bessere Lösung gefunden.

      • Mach ich ganz exakt genau so, inkl. Uhrzeiten! Witzig! 🙂

      • Man kann auch beruflich von privat distanzieren, indem man 2 Geräte hat 🙂 oder noch besser : Internet aus und schon kommt nix mehr an.

        • Zu a) dann aber zwei Geräte mit sich rumschleppt, zu b) dann aber sich privat abklemmt und nicht mehr selbst online News lesen könnte, nur um nicht von der Arbeit gestört zu werden. 😉

    • Kann ich dir sagen: weil die bekannten Clients alle kein „Clustern nach Absender“ beherrschen. Das höchste der Gefühle ist, dass man die Mails nach Absendern sortiert kriegt. Aber mal 10 Mails eines Absenders mit einem Wisch archivieren oder löschen ist nicht drin.

      Ist für die Generation „ich hol meine Mails alle 15 Minuten ab“ nicht so wichtig, ich geh den ganzen Kram einmal in der Woche durch, da ist das viel spannender.

  2. Heisenberg says:

    Selber schuld für diese Leute ein Exchange fähiger Client ist doch Default in Board, nennt sich Gmail!

    • Frank Hofmann says:

      Gmail ischafft bis heute nicht ein gmx Konto vernünfig zu verwalten. Alle s E-Mails die man im GMX Konto löscht kommen beim nächsten Abruf wieder rein. Der Fehler ist schon seit Jahren bekannt aber bei Google interessiert siech niemand für die Belange der Android Benutzer. Lächerlich.

  3. Ich nutze AquaMail und bin ganz zufrieden.

    • Ich habe viel probiert, bin dann auch bei Aquamail hängen geblieben. Am liebsten hätte ich allerdings den Standard-iOS-Mailclient auf Android, gut und simpel. Ich hoffe nur, Aquamail fängt nicht irgendwann so einen Schwachsinn mit „intelligenten“ Filtern an wie Outlook für Android. Das mag bei manchem funktionieren, ich finde es grauenvoll.

    • Schwuppps says:

      Jo … bis heute war ich auch zufrieden mit Blue-Mail … und nu?
      Wem soll Deine Antwort weiterhelfen, wenn Zufriedenheit das einzige Argument ist?

    • Kann Aquamail clustern, so dass ich in einem Schwung alle Nachrichten eines Newsletters oder von dem Blog hier löschen kann? Geht unified Inbox? Kann das ordentlich archivieren?

  4. Man nutzt einfach keine apps, die nicht in fdroid sind…

  5. Ist Blue Mail nicht der Client, der alle Mails per Default über den Server des Betreibers routet? Daher ja verständlich, dass Zugangsdaten im Klartext übertragen werden müssen. Was natürlich aus Privacy-Sicht eine ganz beschissene Idee ist, vor allem da die Mails ja beim eigenen Mailserver sowieso schon auf einem Server liegen. Doppelt macht es in diesem Fall nicht besser

  6. Bin vor einiger Zeit auf eigene Domain und synology umgestiegen. Ich hoffe die Schnüfflelei damit einzudämmen

  7. Outlook für Android macht viel richtig, ebenso Gmail. Wer viele Konten nutzt und spezielle Features sucht, sucht aber vielleicht etwas anderes. Da hat man schlicht weniger Auswahl als bei iOS, wo sich gute Mail Clients die Klinke in die Hand drücken. Selbst nutze ich Outlook mit 3 Konten. Jedoch funktioniert der Archivordner nicht in Verbindung mit unserer Exchange Ordnung. Zero Inbox ist nicht.

    • Outlook schickt deine Daten auch über MS-Server…

      Das Thema kocht immer mal wieder hoch hier im Blog; ka warum dieser andere Blog jetzt etwas neues erzählt… Der Hinweis auf die gleiche Firma ist weit weniger dubios als hier getan wird – zumindest auf Nachfrage wird die Zusammengehörigkeit bestätigt.

      • Ich halte es schon für dubios. Vielleicht auch, weil es sich mir nicht erschließt, warum man die gleiche App mit einem anderen Namen und einer anderen Firma an den Start bringen muss.

    • Bei Outlook seh ich das anders: Outlook (die Android-App) ist nicht von MS, sondern auch von einer kleinen Software-Klitsche. Von MS aufgekauft, ja, aber angeblich weiterhin ein eigenes Team, was die Passwörter auf ihren eigenen Servern speichert.
      Die Integration verschiedener Protokolle in das System ist bei Android so gut gemacht, dass es für die meisten User reicht, daher mag die Auswahl an Mail Clients geringer sein, als bei iOS. Aber gute Mail Clients gibts trotzdem darüber hinaus eine ganze Reihe: Nine, Aquamail, K9 fallen mir spontan ein, gibt aber auch noch mehr.

  8. Aqua Mail ist auch meine Wahl.

    Gab’s neulich mal mit ordentlich Rabatt und seitdem hab ich das altbackene und verbuggte K9 Mail in Rente geschickt. FOSS ist leider nicht immer die erste Wahl.

    Eye Candy ist zwar nicht ausschlaggebend aber nice to have. Außerdem kommt z.B. K9 Mail immer noch nicht mit Exchange 2010+ klar, für mich ein klares Ausschlusskriterium.

    Und ganz ehrlich, niemand mit dem ich noch vertrauliche Informationen austausche nutzt Mail mit PGP, dafür gibt’s wirklich bessere Lösungen (Wire z.B.). Kann ich also auch gut drauf verzichten, daher ist es mir ziemlich schnuppe ob ein Android Mail Client das unterstützt oder nicht.

  9. Ich nutze auch Aquamail. Würde mich sehr interessieren, ob auch bei Aquamail Passwörter im Klartext übermittelt werden. Weiss jemand wie man das nachprüft?

    • Du loggst alle Pakets in deinem Netzwerk mit und durchsuchst die Paket von Aquamail nach deinen Zugangsdaten. Klartext rauszufinden ist echt einfach. Schwieriger wirds zu überprüfen, wenn der Mailclient die Zugangsdaten verschlüsselt überträgt.

      Sprich: nur weil du keine Daten beim Überwachen findest, heißt es noch lange nicht, dass du deinem Client vertrauen kannst.

  10. Basetuner says:

    In MailDroid kann man solche Benachrichtigungsregeln nach Uhrzeit und Konten einstellen. 😉

  11. So verbuggt ist K9 auch nicht. Hat mich noch nie im Stich gelassen. Aktuelle Versionen auf Github: https://github.com/k9mail/k-9/releases

  12. Gibt es denn, außer K9, eine andere sichere Alternative? Wie AquaMail, MailDroid,…? Weiß da jemand was über diese Clients?

    • Nein, es gibt keine sicheren Clients, es sei denn du hast sie selbst geschrieben. Bei K9 ist die Wahrscheinlichkeit höher, aber auch K9 kann dir ein Update unterschieben, das deine Passwörter abfließen lässt. Wird zwar irgendwann auffallen, aber bis dahin kann es auch dauern.

  13. In nutze seit längerem Inbox und die Gmail App. Das reicht mir für das mobile Dasein…

  14. Posteo als Anbieter, miCal als App…Posteo kostet 1€ pro Monat, miCal einmalig 4,99€. Alles super. Server in Deutschland, Passwörter sind gesalzen, also auch für den Prvider nicht einsehbar. Das ist mir meine private Kommunikation wert.

    • KeyserSoze says:

      Posteo & Mailbox.org sind Super,
      haben aber beide keine Android App, funktioniert nur
      umständlich über den Browser, ein großer Nachteil!
      Ich nutze trotzdem Mailbox.org & Outlook,
      wegen mangelnder Alternative,
      also Alles (App & Client) aus einer Hand.

  15. Hallo, ich bin Redakteur bei Mobilsicher und habe eine Nachfrage.
    Sie schreiben: „Ich habe das Ganze mal nachvollziehen wollen und konnte feststellen, dass beim standardmäßig im System verankerten Gmail-Konto freilich nicht Mail-Adresse und Passwort im Klartext erfragt wird, stattdessen wird hier, wie üblich, zu OAuth gegriffen, dennoch gibt man der App aber Zugriff auf Mail, Kontakte und Kalender.“
    -> Mir ist nicht ganz klar, was Sie meinen. Haben Sie ihr Gmail-Konto mit der Blue Mail-App verknüpft und gesehen, dass bei Gmail, anders als bei anderen Mail-Providern, das Problem nicht besteht? Das heißt, dass in Ihrem Test Mail-Adresse und Passwort bei einem Gmail-Konto nicht ungehasht übertragen wurde? Oder hab ich Sie da falsch verstanden?
    Besten Dank, mit freundlichen Grüßen, Stefan Mey

    • @Stefan: Ich schreibe dir eine Mail dazu.

      • Haiko Blöcher says:

        Ich bin kein Redakteur bei Mobilsicher sondern nur neugiereiger und interessierter Nutzer, aber diese Frage habe ich mir beim Lesen auch gestellt. Könnten Sie das vielleicht auch für die Blogleser hier beantworten oder ggf. erläutern wieso Sie das nicht für alle beantworten (können)?

        • Hallo Haiko, ich schrieb eine Mail, damit es nicht untergeht. Aber auch hier für dich auch einmal:

          „Bei einem vorliegenden Gmail- / Google-Konto wird eine OAUTH-Autorisierung durchgeführt.

          https://developers.google.com/gmail/api/auth/about-auth

          Der Nutzer übergibt also nicht Nutzernamen und Passwort an den Anbieter, sondern der bekommt „nur“ den besagten Zugriff. Wie das bei den anderen vorgegebenen Providern ist, ist mir nicht bekannt, aber da werden sicher auch einige OAUTH anbieten. Beim manuellen Anlegen eines Kontos – in eurem Falle war das GMX – muss eben der Server, Nutzername und das Passwort übergeben werden.“

  16. Hi Schwuppps,

    hast du den Link zu dem Changelog vllt. noch?

    Ja, das Problem haben jetzt wohl einige mit ner neuen App. Anscheinend ist Nine und Aqua Mail auch nicht so prickelnd (wegen Datensammlung und Werbung über Google DoubleClick). Suuuper, wird ja immer besser…

    Vielleicht wartet man einfach bis der Hersteller reagiert? Keine Ahnung.

    Grüße Stefan

  17. Vielleicht haben sie besagt Sync Funktion entfernt? Ich kann das nicht nachtesten, ich nutze BlueMail nicht.

    Um es nochmal festzuhalten, das die Passwörter im Klartext übertragen werden ist natürlich Bullshit!

  18. mobilsicher haben Blue Mail getestet – und waren entsetzt. Die App schickt Nutzername und Passwort an die eigenen Server. Auch noch NACH dem Update. Deinstallieren! Sofort!

    https://www.facebook.com/mobilsicher/posts/732439407143676

    Oder hier: https://mobilsicher.de/aktuelles/sicherheits-desaster-mail-apps-uebertragen-passwoerter

    • Habt ihr die Account Backup and Sync Funktion getestet?

      • Nein, haben wir nicht. Haben den Datenverkehr geloggt bei: 1. Start der App 2. Verknüpfen eines gmx-Kontos 3. Abrufen von Mails aus dem verknüpften Konto.

      • Übrigens hat Blue Mail gestern (7.3.) ein zweites Update ausgerollt, 1.9.4.1 Das haben wir noch nicht getestet. Sie haben uns aber geschrieben und versichert, dass es jetzt wirklich wirklich gefixt ist.

  19. Und du hast offenbar die Hosen voll. 😉

  20. Ist heute wieder Ausgang für Trolle?

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.