Android: Mail-Apps TypeApp & Blue Mail sollen Kennwörter an Betreiber senden
Mike Kuketz, unter anderem Lehrbeauftragter für IT-Sicherheit an der dualen Hochschule Karlsruhe, warnt in seinem Blog vor zwei Mail-Clients auf der Android-Plattform. Konkret handelt es sich dabei um „Blue Mail – Email & Kalender App“ und „Email TypeApp – Mail & Calendar“. Zuerst genannte App kommt auf 5 bis 10 Millionen Installationen bei 4,6 Sternen, während die andere App 1 bis 5 Millionen Installationen auf der Uhr hat – bei ebenfalls 4,6 Sternen.
Kuketz warnt, dass beide Apps Mail-Adressen und Passwörter an den Betreiber übermitteln würden – im Klartext. Bedeutet also, dass ihr die Daten in die Hände des Betreibers gebt. Das machen einige Apps so, allerdings kommt da zumindest eine Verschlüsselung des Passworts zum Einsatz.
Ich habe das Ganze mal nachvollziehen wollen und konnte feststellen, dass beim standardmäßig im System verankerten Gmail-Konto freilich nicht Mail-Adresse und Passwort im Klartext erfragt wird, stattdessen wird hier, wie üblich, zu OAuth gegriffen, dennoch gibt man der App aber Zugriff auf Mail, Kontakte und Kalender.
Im Beitrag von Kuketz heißt es weiter: „Hinter TypeApp und Blue Mail stecken also vermutlich identische Betreiber – das lässt schon fast darauf schließen, dass hier gezielt nach E-Mail-Adressen inklusive den dazugehörigen Passwörtern gefischt wird„. Sein „vermutlich“ wird sicher passen. Dies kann man innerhalb einer Minute selber herausfinden, indem man in die Terms of Service von TypeApp schaut, dort wird auch Blue genannt, zudem haben die Webseiten eine große Ähnlichkeit..
Nutzer der App haben nun diverse Möglichkeiten. Sie können nun die Betreiber mal befragen, warum die Passwörter im Klartext übermittelt werden, bzw. was es genau damit auf sich hat. Alternativ ist ein Wechsel auf andere Clients möglich, K-9 Mail ist auf Android sehr beliebt. Des Weiteren sollte man dann vielleicht auch das Passwort zum Mail-Konto ändern und im Falle von Google Mail den Zugriff widerrufen.
BlueMail selber widerspricht den Vorwürfen.
The information in the article is not true and misleading. We do not store emails or passwords as implied. BlueMail is a secure email client that communicates directly with email providers. BlueMail uses SSL & OAuth where applicable. Please contact us directly for clarification.
— BlueMail (@BlueMail) March 6, 2018
Wow, jetzt legt sich Blue Mail aber ins Zeug. Noch ein Update, heute Nacht auf 1.9.4.2. Mike war fleißig und hat es geprüft: Voila, keine Übertragung von Passwort und Nutzername bei vernknüpftem GMX-Konto. Geht doch. Zu den anderen Kritikpunkten (siehe Test auf http://www.mobilsicher.de) wurden allerdings nichts gesagt.
Da TypeApp anscheinend vom selben Anbieter stammt, inzwischen auch Versionsnummer 1.9.4.2 trägt und das Changelog im Wesentlichen dem von Blue Mail gleicht, hat TypeApp auch die Übertragung eingestellt? Haben Sie das auch getestet? Auf Mobilsicher finde ich leider keine Angaben dazu.
Nein, wir (bzw. Mike) hat die neue Version von TypeApp nicht getestet. Da TypeApp auch nicht von uns beauftragt war, bleibt das ihm überlassen, ob er das noch machen will. Allerdings glaube ich, die App ist nicht so weit verbreitet oder? Die Versions-Nummer ist auf jedenfall ein guter Hinweis, ich werde auf jedenfall mal bei Blue Mail nachfragen – wir sind ja in Kontakt.
Könnten Sie dann bitte die Antwort auch hier posten? Das wäre sehr freundlich. 🙂
Geht klar
Gab es schon eine Antwort? Ist ja schon über zwei Monate her das versprochen wurde die Antwort hier zu posten.
Hallo Tobias,
mobilsicher weiss inzwischen sicher: typeapp und bluemail haben denselben Anbieter und sind beide aktualisiert, übertragen also beide keine Nutzerdaten mehr.
Liebe Grüße, Ute
Wenns nur eine andere App gäbe, die verschiedene Mailkonten(& -typen), Unified Inbox und Clustern nach Sender beherrscht und nicht so einen Mist macht 🙁
Kennt jemand eine?
Die E-Mail App von 1&1? Für mich ist 1&1 seriös genug das ich denen vertraue.
War lange Zeit auch überzeugte Nutzerin von Aqua Mail Pro. Da ich aber seit kurzem mit der App auf meinen beiden Android Geräten Probleme bekommen habe, bin ich gezwungernermaßen auf Erkundungstour nach einem sicheren Android E-Mail Clienten gegangen. Das meiste war sehr unerfreulich, leider auch die Entdeckung, dass Aqua Mail mittlerweile wohl auch nicht mehr unbedenklich ist https://www.android-hilfe.de/forum/aqua-mail.2241/aquamail-nun-mit-werbung-und-mal-nebenbei-geaenderter-privacy-policy.848164.html. Bin weiterhin auf der Suche, werde wohl aber Mal R2Mail2 testen.
Ist das hier noch aktuell? Laut https://mobilsicher.de/apps/e-mail-app-bluemail-im-test wurde das Thema mit dem Update auf 1.9.4 behoben. Hast du das nachgeprüft? Bzw. auf welche Version beziehst du dich hier?