Ein E-Mail-Programm ist eine praktische Sache. Es prüft das Postfach automatisch auf neue Nachrichten und ruft sie ab, die Ansicht ist auf das jeweilige Endgerät zugeschnitten – kurz: es vereinfacht die digitale Kommunikation. Da zumindest die grundsätzlichen Funktionen bei fast allen E-Mail-Clients sehr ähnlich sind, ist es für viele Nutzer eigentlich reine Geschmackssache, welches Programm sie auswählen. Doch diese Einstellung sollte man nochmal genauer prüfen, denn der Sicherheitsforscher Mike Kuketz hat nun eklatante Sicherheitslücken bei einigen der kostenlosen Apps für Android-Geräte gefunden.
So übertragen mindestens sechs beliebte E-Mail-Clients die eingegebenen Kennwörter an den jeweiligen App-Anbieter, und das zum Teil sogar unverschlüsselt. Konkret nennt Kuketz die Programme Blue Mail, Type App, my Mail, Email App for Any Mail, Mail.ru und E-Mail – Fast & Secure mail for Gmail Outlook & more. Bei Blue Mail hätte ein Blick in die AGB ausgereicht, um das festzustellen. Denn in der Datenschutzerklärung lässt sich die App vom Nutzer das Recht zum Sammeln der Anmeldedaten einräumen. Dass damit allerdings gemeint ist, dass das Kennwort unverschlüsselt übertragen wird, konnten wohl auch die wenigen Nutzer, die diese Erklärung tatsächlich gelesen haben, nicht erahnen.
Wer nun denkt, dass das Problem nur wenige Nutzer von eher unbekannten Apps betreffen dürfte, irrt. Ein Blick auf die Download-Zahlen im Play Store zeigt bei allen genannten Programmen zwischen einer und fünf Millionen Downloads, bei myMail und Mail.ru sogar mindestens 10 Millionen. Das Problem: Es muss sich dabei nicht um aktuelle User handeln. Es reicht, wenn der Client einmal eingerichtet und dabei das Kennwort übertragen wurde. Ob man ihn dann nutzt oder wieder löscht, ist egal, der Schaden wurde bereits angerichtet. Daher sollten alle, die eines der genannten E-Mail-Programme irgendwann einmal in Benutzung hatten, schnellstmöglich die Kennwörter für das betroffene Konto ändern und auf eine vertrauenswürdige App umsteigen.
Der Anbieter von Blue Mail hat übrigens die Erkenntnisse des Sicherheitsforschers in einer Pressemeldung dementiert. Das hält die App allerdings nicht davon ab, weiterhin Kennwörter zu übertragen. Das hat Kuketz nach der Veröffentlichung der Meldung erneut überprüft.
So übertragen mindestens sechs beliebte E-Mail-Clients die eingegebenen Kennwörter an den jeweiligen App-Anbieter, und das zum Teil sogar unverschlüsselt. Konkret nennt Kuketz die Programme Blue Mail, Type App, my Mail, Email App for Any Mail, Mail.ru und E-Mail – Fast & Secure mail for Gmail Outlook & more. Bei Blue Mail hätte ein Blick in die AGB ausgereicht, um das festzustellen. Denn in der Datenschutzerklärung lässt sich die App vom Nutzer das Recht zum Sammeln der Anmeldedaten einräumen. Dass damit allerdings gemeint ist, dass das Kennwort unverschlüsselt übertragen wird, konnten wohl auch die wenigen Nutzer, die diese Erklärung tatsächlich gelesen haben, nicht erahnen.
Wer nun denkt, dass das Problem nur wenige Nutzer von eher unbekannten Apps betreffen dürfte, irrt. Ein Blick auf die Download-Zahlen im Play Store zeigt bei allen genannten Programmen zwischen einer und fünf Millionen Downloads, bei myMail und Mail.ru sogar mindestens 10 Millionen. Das Problem: Es muss sich dabei nicht um aktuelle User handeln. Es reicht, wenn der Client einmal eingerichtet und dabei das Kennwort übertragen wurde. Ob man ihn dann nutzt oder wieder löscht, ist egal, der Schaden wurde bereits angerichtet. Daher sollten alle, die eines der genannten E-Mail-Programme irgendwann einmal in Benutzung hatten, schnellstmöglich die Kennwörter für das betroffene Konto ändern und auf eine vertrauenswürdige App umsteigen.
Der Anbieter von Blue Mail hat übrigens die Erkenntnisse des Sicherheitsforschers in einer Pressemeldung dementiert. Das hält die App allerdings nicht davon ab, weiterhin Kennwörter zu übertragen. Das hat Kuketz nach der Veröffentlichung der Meldung erneut überprüft.
