Edison Mail: Bug unter Apple iOS gewährte Zugriff auf fremde Nutzerkonten
von André Westphal | 37 Kommentare
Edison Mail ist ein E-Mail-Client, der sich auch in Deutschland einer gewissen Beliebtheit erfreut. Es gibt die App für sowohl Android als auch Apple iOS. Nun ist es zu einem ziemlich verheerenden Bug in der iOS-Version gekommen: Nach der Verteilung des letzten Updates konnten User plötzlich auf fremde Konten zugreifen, statt auf ihre eigenen.
Rasch hat man bei Edison Mail reagiert und die Aktualisierung zurückgezogen. Ein starkes Stück ist der Fehler aber allemal. So mussten die Zugangsdaten der fremden Konten nicht eingegeben werden, es rauschten einfach plötzlich E-Mails anderer Personen bei einigen iOS-Nutzern mit Edison Mail ins Postfach. Laut den Entwicklern sei die Version für Android immerhin nicht betroffen gewesen. Der Fehler beschränkte sich also nach derzeitigem Stand der Dinge auf die iOS-Version.
Edison versucht sich nun an Schadensbegrenzung: Angeblich sei das Update nur an eine kleine Auswahl an Usern verteilt worden, bis man den Fehler bemerkt habe. Man habe die Aktualisierung daraufhin sofort zurückgezogen. Die betroffenen Anwender habe man bereits kontaktiert. Es handele sich aber nur um eine noch kleinere Untergruppe der User, welche das Update überhaupt bereits erhalten und Edison Mail innerhalb der letzten 10 Stunden genutzt hatten.
Tja, klingt für mich nach einem Herunterspielen, da man den drastischen Fehler nun möglichst klein erscheinen lassen möchte. Wie viele Nutzerkonten tatsächlich betroffen gewesen sind, lässt sich für Außenstehende natürlich nicht feststellen. Aber E-Mails sind ein heikles Thema und niemand möchte, dass Fremde darauf plötzlich Zugriff erhalten – genau das ist aber nun Nutzern von Edison Mail unter iOS widerfahren.
Wer Edison Mail verwendet, sollte definitiv sein Passwort ändern. Sollte sich dieser Fehler herumsprechen, dann denke ich zudem, dass da nun einige Nutzer das Vertrauen verlieren und sich nach einem anderen Client umsehen. Solltet ihr Menschen kennen, die Edison Mail unter Apple iOS verwenden, dann macht sie vielleicht auch vorsichtshalber auf die Angelegenheit aufmerksam.
Wird geladen ...
Naja anscheinend speichert Edison Mail ähnlich wie Spark die Nutzerdaten auf eigenen Servern. Wer sowas nutzt muss wohl damit rechnen daß diese Daten einmal an unerwünschte Personen geraten. Auch wenn vielen Nutzern vermutlich gar nicht bewusst ist wo ihre Daten beim nutzen der App landen.
Ja Moment, für tolles Design ist das doch egal! „Ich habe doch nichts zu verbergen.“
Spaß beiseite: langsam kann man das Gefühl bekommen, dass zu viele „Wir-jetzt-auch-App“-Buden mal schnell was Hippes zusammenfrickeln und auf den Markt werfen, aber weder Ahnung von Sicherheit, geschweigedenn von der Materie haben. Wie im Film: hübsche Fassade reicht.
Ja Moment, für tolles Design ist das doch egal! „Ich habe doch nichts zu verbergen.“
Spaß beiseite: langsam kann man das Gefühl bekommen, dass zu viele „Wir-jetzt-auch-App“-Buden mal schnell was Hippes zusammenfrickeln und auf den Markt werfen, aber weder Ahnung von Sicherheit, geschweigedenn von der Materie haben. Wie im Film: hübsche Fassade reicht.
Macht es Microsoft mit Outlook (iOS) nicht genauso?
Hört sich an, als wenn die Mails und/oder die Passwörter auf dem Server von Edison Mail gespeichert werden. Damit hätte dann dieser Dienst vollen Zugriff auf die Mails. Sollte es nicht so sein, dass sich ein Mailclient mit den Zugangsdaten beim Mailprovider einloggt und die Post abholt? Dazu muss EdisonMail diese Daten gar nicht kennen. Fall doch, wäre das höchst unseriös,
Ja. Ich verstehe nicht, wieso jemand solche Dienste nutzt. Gut, seinem Mail Provider muss man vertrauen, zumal eher mitlesen kann wenn man nicht selbst verschlüsselt.
Das ist einer der Gründe, warum man keine proprietäre Software nutzt. Da klaut der Anbieter mal eben die Logindaten des eigenen Accounts, speichert sie extern ab und stellt den Login dann auch noch Dritten zur Verfügung. Und die Nutzer bekommen es nur durch Zufall mit.
Lieber K-9 oder FairEmail, die funktionieren auch, wenn man sie per Firewall so einsperrt, dass sie ausschließlich auf den verwendeten E-Mail-Server Zugriff haben.
Das hier ist ein übler Bug und kein grundsätzliches Problem bei “proprietärer Software”, du Open-Source-Moralapostel.
Ausserdem sind die Zugangsdaten allein für Dritte wertlos, wenn die 2-Wege-Anmeldung (2FA) aktiviert ist. Und wer das nicht macht, ist halt selber schuld.
Ha haha hahahaha…
Klar. Außer jemand hackt sich bei deinem Anbieter ein. Oder der Anbieter schreibt buggy software. Oder ist unseriös und verkauft seine Daten. Oder …
Wer Anbieter nutzt, welche vollen Zugriff auf das Email Postfach haben (Edison Mail, Spark, …) ist selber schuld. Punkt. Alle schreiben das offen in ihren Nutzungsbedingungen. Lesen hilft.
Das hat NICHTS mit Open source zu tun. Ich erinnere an den OpenSSL Bug? Viele Kernel Sicherheitsbugs, … Macht die Sache also auch nicht unbedingt sicherer. Bugs passieren nun mal, ob Open oder closed source. Aber man gibt niemandem voll Zugriff auf sein halbes Leben (Email). Niemandem. Das ist einfach nur dumm.
Du vergleichst hier ernsthaft Bugs in OpenSSL mit dem gewollten(!) Verhalten einer Software? EOD.
Das Problem hier ist, dass der Anbieter offenbar die Daten gespeichert hat, ohne das an seine Nutzer zu kommunizieren. Und doch, genau das ist ein grundsätzliches Problem bei proprietärer Software, man kann nicht kontrollieren, was sie tut.
War ein kurzes Vergnügen mit der App. Dann halt wieder gelöscht.
Wieso, sie halten ein was sie auf ihrer Website mit Marketingaussagen rüberbringen:
It’s time to change email.
Wenn sowas durch einen „Bug“ möglich ist, ist das System defekt, broken by design. Da helfen keine Updates.
E-Mail und iOS – da ist irgendwie gerade der Wurm drin…
Zum Glück habe ich sehr geringes E-Mailaufkommen, sodass Delta Chat ein guter Notbehelf ist. Ansonsten rufe ich meine Strato-Mailbox einfach mit Thunderbird ab und habe die Mails lokal bei mir Zuhause und nicht auf irgendwelchen Servern.
Das hat nix mit iOS zu tun.
Er meinte damit, dass die Apple Mail App seit über einem Jahr unbrauchbar geworden ist. Keine oder fehlende Benachrichtigungen, Badge zeigt neue E-Mail an, ist aber keine zu sehen, lädt teilweise gar keine neuen Mails mehr usw.
Ich nutze Apple Mail auf iPhone und iPad für drei Mail Konten und habe wirklich keinen einzigen der von dir genannten Fehler.
Das Problem mit Apple Mail ist, dass es ebenfalls einen üblen Bug hat den Apple gerade runterspielt. Gegenwärtig ist man, wenn man auf Nummer sicher gehen will auf einen anderen Mailclient unter iOS angewiesen. Ich bin auch für Tipps dankbar – die meisten haben das Problem, dass die Zugangsdaten nicht auf dem Telefon bleiben sondern in irgendwelchen ominösen Wolken abwandern – so wie hier auch.
Nicht nur kennt Edison Deine Zugangsdaten zum Mail Postfach. Sie rufen Deine Mails auch gleich für dich ab. Sie liegen also bei Edison/AWS.
Grade bei einem Test Postfach nach der Einrichtung keine einzige Verbindung von meinem Telekom-Anschluss mehr in den Logs gesehen. Nur Amazon IP Ranges.
Höchst unseriös auf so einen Umstand nicht fett hinzuweisen. Auch beim darüber bloggen sollte man das erwähnen. Oder solchen Apps gar nicht erst Beachtung schenken.
Hinzu kommt, dass diese App völlig kostenlos ist und durch den oben genannten Umstand nicht nur die Entwicklung und Pflege der App sondern eben auch ein fetter AWS Posten am Ende des Monats bei Edison auf der Rechnung steht der irgendwie bezahlt werden will.
Vor allem das hier: https://stadt-bremerhaven.de/bsi-warnt-vor-ios-app-mail/
Das war ein Speicherfehler, mehr nicht. Um den auszunutzen bedürfte es noch mehr.
Das wäre mit Googles Gmail nicht passiert
Man muss sich halt entscheiden: Emails werden vom Anbieter mitgelesen, oder Emails landen bei wildfremden Personen im Postfach… was ist das kleinere Übel?
Oder für nicht bekloppte Menschen: weder noch
Manchmal hilft es ja bei sich selbst anzufangen.
Hiermit tue ich das: ja, ich nutze E-Mails und ich nutze WhatsApp. Bei beidem bin ich mir bewusst, dass es kein Briefgeheimnis gibt. Möglichweise auch nicht geben kann. Ich nutze es, weil es ’schnell‘ geht. Ich habe Verwandte in den USA. Ich bin gern mit denen in Verbindung.
Kleine Anmerkung nebenher:
In den USA wusste man seit November 2019, aufgrund erhöhtem Mailverkehr, dass sich in China etwas anbahnt. Man hat die Mails innerhalb der US ‚Services‘ übersetzen lassen. Das ist keine V-Theorie, sondern aus dem Auslandjournals des ZDF entnommen! Ein Grund mehr die GEZ Gebühren zu zahlen!
Wir, und da schließe ich mich mit ein haben nichts gelernt. Verschlüsselung von E-Mail? Ja, mag es geben, nutzen im privaten Bereich aber von meinen Kontakten wenige. Ich nutze auch keine Verschlüsselung. JEDE E-Mail, ob aus Deutschland nach Deutschland geschickt, läuft über die USA.
Warum tritt Europa in dieser HInsicht nicht selbstbewusster auf?
Schade, ich hoffte auf einen Sinn.
Ich ja noch viel mehr bei deiner Antwort!
> JEDE E-Mail, ob aus Deutschland nach Deutschland geschickt, läuft über die USA.
Nein.
Da bin ich mir aber sehr sicher.
Einfach ‚Nein‘ schreiben reicht heutzutage aus oder wie ?
Hat jemand einen Tipp für einen Datenschutz-konforme E-Mail-App unter iOS, mit der sich Exchange Server anrufen lassen?
Das ist ein Oxymoron, zumindest aus technischer Sicht. Selbst wenn du der E-Mail-App vertrauen kannst, dem Betriebssystem kannst du eben nicht vertrauen. Was das also im Hintergrund treibt, kannst du nicht prüfen. Und die Prüfung gehört zum Datenschutz dazu.
Wenn es dir nur um den juristischen Aspekt geht, da gibt es sicher entsprechende Apps…
Vielleicht war die Wortwahl „Datenschutz-konform“ etwas zu hoch gestapelt. Ich vertraue Apple, dass sie meine Accountdaten nur im Gerät speichern. Daher würde eine App vollkommen reichen, der man diesbezüglich ebenfalls trauen kann (es darf aber nicht Apple Mail sein, weil ich Post „räumlich“ zwischen Privat und Geschäftlich trennen möchte).
Das würde mich auch interessieren, stehe vor der gleichen Herausforderung. bzgl. der Trennung von Privat und Geschäftlich.
Intelligente Postfächer könnten da die Lösung sein.
Mal davon abgesehen, dass ich zwei getrennte Geräte empfehlen würde (sowohl aus Sicht des Datenschutzes als auch der Work/Life Balance), gibt es bei iOS kein Pendant zum Work Profile bei Android?
https://support.google.com/work/android/answer/6191949?hl=en
Bevor ich im Jahre 1992 meine erste Email verschickt habe, wurde uns vom Admin eingetrichtert: „In eine Email gehört NICHTS, was man NICHT AUCH auf eine Postkarte schreiben würde“. Es sei denn, sie ist verschlüsselt.
Damit bin ich bis heute sehr gut gefahren, ist mir völlig egal was der Provider oder Mailclient macht.