DE | EN
Sitemap | Impressum
web2.0 Diaspora RSS Vimeo taz A-FsA Song MeetUp Twitter Youtube Tumblr Flickr Wikipedia Bitcoin Facebook Bitmessage Betterplace Tor-Netzwerk https-everywhere
08.03.2018 Diverse E-Mail Apps geben Passwörter weiter
Sorry, most articles are not available in English yet

"Passwörter im Klartext klauen geht gar nicht"

Wir wissen ja alle, dass wir viele "kostenlose" Apps mit unseren Daten bezahlen - und viele lassen sich auf dieses böse Spiel ein. Aber Datenklau kann man doch auch "sicher" machen ;-))

Der Sicherheitsexperte Mike Kuketz testet für das Online-Magazin Mobilsicher gerade E-Mail-Apps für Android Smartphones. Dabei hat er festgestellt, dass eine ganze Reihe dieser Apps die Kennwörter zur Anmeldung beim E-Mail-Anbieter an ihre Hersteller übertragen - und einige sogar im Klartext ohne Verschlüsselung. 

Das betrifft nach seinen Recherchen die E-Mail-Clients

Während die meisten dieser Apps das ohne "Wissen" der Nutzer machen, hat sich der Anbieter der Blue-Mail-App die Genehmigung zum Sammeln der Anmeldedaten in der Datenschutzerklärung eingeholt, der man mit dem Herunterladen der App zugestimmt hat. Hat dies auch Jede/r gelesen? ;-))

Schlimmerweise haben die oben genannten Apps viele positive Bewertungen im Play Store. Blue Mail kommt dort auf 5 bis 10 Millionen Installationen, Type App und Email App for Any Mail haben es auf 1 bis 5 Millionen Installationen geschafft. Bei myMail und Mail.ru sind es sogar 10 bis 50 Millionen Installationen.

Bei seinen Untersuchungen hat Kuketz ermittelt, dass die App Blue Mail noch weitere vertrauliche Daten von ihren Nutzern ausliest. So werden alle E-Mail-Adressen aus dem Postfach an den Hersteller gesendet.

Wir können nur empfehlen diese Apps zu deinstallieren und auf eine andere E-Mail-App zu wechseln. Wir haben gute Erfahrungen mit dem E-Mail-Client K9 Mail.gemacht, der mit der App OpenKeyChain auch leicht verschlüsselte Mails verarbeiten kann.

Mehr dazu bei https://www.golem.de/news/e-mail-clients-fuer-android-kennwoerter-werden-im-klartext-an-betreiber-uebermittelt-1803-133172.html
und https://www.kuketz-blog.de/mail-apps-zahlreiche-android-apps-uebermitteln-login-passwort/
und wir holen den Verweis auf mobilsicher ebenfalls gern nach https://mobilsicher.de/apps/e-mail-app-bluemail-im-test#Bluemail2


Kommentar: RE: 20180308 Diverse E-Mail Apps geben Passwörter weiter

Das mit dem "Klartext" ist etwas missverständlich. Die Blue Mail App überträgt sämtliche Daten TLS-Verschlüsselt - für einen Dritten, der sich dazwischen schaltet, sind die Passwörter also nicht ohne weiteres lesbar.
Aber darüberhinaus sind sie eben nicht verschlüsselt, d.h. nicht gehasht oder anderweitig codiert. Blue Mail kann sie also lesen, sobald sie dort auf dem Server angekommen sind. Das ist unser Hauptkritikpunkt.
Blue Mail hat übrigens inzwischen reagiert und nach zwei erfolglosen Updates nun mit Version 1.9.4.2 ein Update gebracht, in dem die Login-Daten nicht mehr übertragen werden.
Es wäre auch toll gewesen, wenn der Autor den eigentlichen Test auf der Seite von mobilsicher.de verlinkt hätte. Hole ich hiermit nach:
https://mobilsicher.de/apps/e-mail-app-bluemail-im-test#Bluemail2

Miriam (Redaktion mobilsicher), 08.03.2018 21:24


Category[21]: Unsere Themen in der Presse Short-Link to this page: a-fsa.de/e/2Tw
Link to this page: https://www.aktion-freiheitstattangst.org/de/articles/6395-20180308-diverse-e-mail-apps-geben-passwoerter-weiter.htm
Link with Tor: nnksciarbrfsg3ud.onion/de/articles/6395-20180308-diverse-e-mail-apps-geben-passwoerter-weiter.htm
Tags: #Cyberwar #Hacking #Trojaner #Cookies #Verschlüsselung #Smartphone #Handy #E-Mail #Android #Google #Verbraucherdatenschutz #Datenschutz #Datensicherheit #Datenpannen #Datenskandale #Datenklau
Created: 2018-03-08 09:53:44
Hits: 594

Leave a Comment

If you like a crypted answer you may copy your
public key into this field. (Optional)
To prevent the use of this form by spam robots, please enter the portrayed character set in the left picture below into the right field.
logos Mitglied im European Civil Liberties Network Creative Commons Bundesfreiwilligendienst We don't store user data World Beyond War Tor - The onion router HTTPS - use encrypted connections We don't use JavaScript For transparency in the civil society