Android: Mail-Apps TypeApp & Blue Mail sollen Kennwörter an Betreiber senden

Mike Kuketz, unter anderem Lehrbeauftragter für IT-Sicherheit an der dualen Hochschule Karlsruhe, warnt in seinem Blog vor zwei Mail-Clients auf der Android-Plattform. Konkret handelt es sich dabei um „Blue Mail – Email & Kalender App“ und „Email TypeApp – Mail & Calendar“. Zuerst genannte App kommt auf  5 bis 10 Millionen Installationen bei 4,6 Sternen, während die andere App 1 bis 5 Millionen Installationen auf der Uhr hat – bei ebenfalls 4,6 Sternen.

Kuketz warnt, dass beide Apps Mail-Adressen und Passwörter an den Betreiber übermitteln würden – im Klartext. Bedeutet also, dass ihr die Daten in die Hände des Betreibers gebt. Das machen einige Apps so, allerdings kommt da zumindest eine Verschlüsselung des Passworts zum Einsatz.

Ich habe das Ganze mal nachvollziehen wollen und konnte feststellen, dass beim standardmäßig im System verankerten Gmail-Konto freilich nicht Mail-Adresse und Passwort im Klartext erfragt wird, stattdessen wird hier, wie üblich, zu OAuth gegriffen, dennoch gibt man der App aber Zugriff auf Mail, Kontakte und Kalender.

Im Beitrag von Kuketz heißt es weiter:Hinter TypeApp und Blue Mail stecken also vermutlich identische Betreiber – das lässt schon fast darauf schließen, dass hier gezielt nach E-Mail-Adressen inklusive den dazugehörigen Passwörtern gefischt wird„. Sein „vermutlich“ wird sicher passen. Dies kann man innerhalb einer Minute selber herausfinden, indem man in die Terms of Service von TypeApp schaut, dort wird auch Blue genannt, zudem haben die Webseiten eine große Ähnlichkeit..

Nutzer der App haben nun diverse Möglichkeiten. Sie können nun die Betreiber mal befragen, warum die Passwörter im Klartext übermittelt werden, bzw. was es genau damit auf sich hat. Alternativ ist ein Wechsel auf andere Clients möglich, K-9 Mail ist auf Android sehr beliebt. Des Weiteren sollte man dann vielleicht auch das Passwort zum Mail-Konto ändern und im Falle von Google Mail den Zugriff widerrufen.

BlueMail selber widerspricht den Vorwürfen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hallo, ich bin Carsten! Ich bin gelernter IT-Systemelektroniker und habe das Blog 2005 gegründet. Baujahr 1977, Dortmunder im Norden, BVB-Fan und Vater eines Sohnes. Auch zu finden bei X, Threads, Facebook, LinkedIn und Instagram.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

65 Kommentare

  1. Wow, jetzt legt sich Blue Mail aber ins Zeug. Noch ein Update, heute Nacht auf 1.9.4.2. Mike war fleißig und hat es geprüft: Voila, keine Übertragung von Passwort und Nutzername bei vernknüpftem GMX-Konto. Geht doch. Zu den anderen Kritikpunkten (siehe Test auf http://www.mobilsicher.de) wurden allerdings nichts gesagt.

    • Haiko Blöcher says:

      Da TypeApp anscheinend vom selben Anbieter stammt, inzwischen auch Versionsnummer 1.9.4.2 trägt und das Changelog im Wesentlichen dem von Blue Mail gleicht, hat TypeApp auch die Übertragung eingestellt? Haben Sie das auch getestet? Auf Mobilsicher finde ich leider keine Angaben dazu.

      • Miriam (Redaktion mobilsicher) says:

        Nein, wir (bzw. Mike) hat die neue Version von TypeApp nicht getestet. Da TypeApp auch nicht von uns beauftragt war, bleibt das ihm überlassen, ob er das noch machen will. Allerdings glaube ich, die App ist nicht so weit verbreitet oder? Die Versions-Nummer ist auf jedenfall ein guter Hinweis, ich werde auf jedenfall mal bei Blue Mail nachfragen – wir sind ja in Kontakt.

        • Haiko Blöcher says:

          Könnten Sie dann bitte die Antwort auch hier posten? Das wäre sehr freundlich. 🙂

          • Miriam (Redaktion mobilsicher) says:

            Geht klar

            • Gab es schon eine Antwort? Ist ja schon über zwei Monate her das versprochen wurde die Antwort hier zu posten.

              • Hallo Tobias,
                mobilsicher weiss inzwischen sicher: typeapp und bluemail haben denselben Anbieter und sind beide aktualisiert, übertragen also beide keine Nutzerdaten mehr.
                Liebe Grüße, Ute

  2. Wenns nur eine andere App gäbe, die verschiedene Mailkonten(& -typen), Unified Inbox und Clustern nach Sender beherrscht und nicht so einen Mist macht 🙁

    Kennt jemand eine?

  3. Die E-Mail App von 1&1? Für mich ist 1&1 seriös genug das ich denen vertraue.

  4. War lange Zeit auch überzeugte Nutzerin von Aqua Mail Pro. Da ich aber seit kurzem mit der App auf meinen beiden Android Geräten Probleme bekommen habe, bin ich gezwungernermaßen auf Erkundungstour nach einem sicheren Android E-Mail Clienten gegangen. Das meiste war sehr unerfreulich, leider auch die Entdeckung, dass Aqua Mail mittlerweile wohl auch nicht mehr unbedenklich ist https://www.android-hilfe.de/forum/aqua-mail.2241/aquamail-nun-mit-werbung-und-mal-nebenbei-geaenderter-privacy-policy.848164.html. Bin weiterhin auf der Suche, werde wohl aber Mal R2Mail2 testen.

  5. Sebastian says:

    Ist das hier noch aktuell? Laut https://mobilsicher.de/apps/e-mail-app-bluemail-im-test wurde das Thema mit dem Update auf 1.9.4 behoben. Hast du das nachgeprüft? Bzw. auf welche Version beziehst du dich hier?

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.