Blue Mail: Android Mail-App versendet Login-Passwort zum E-Mail-Konto
Aktuell teste ich E-Mail-Apps für mobilsicher.de. Diesmal: Blue Mail – Email & Kalender App (Achtung: Link führt zum Google Play Store).
Unmittelbar nach der Verknüpfung des E-Mail-Kontos werden folgende Informationen an den Hersteller Blue Mail übermittelt:
POST /autoconfig?ver=1.0 HTTP/1.1 build: 12301 app_version: 1.9.3.20 brand: BL and_id: b92ce315-6c20-4241-949c-c48466f66d5c android_id: 12ecede7d032bacb user_id: -1 device_id: undefined_device_id country_code: vendor_id: 12ecede7d032bacb device_type: android Content-Length: 89 Content-Type: application/x-www-form-urlencoded Host: mtu.bluemailapp.com Connection: close email=testmail%40gmx.de&password=testpass22%21%23&client_orig_account_type=other
Die entscheidenden Informationen sind in der letzten Zeile des POST-Requests:
- email: testmail@gmx.de – Übermittlung eurer E-Mail-Adresse
- password: testpassword22!# – Übermittlung des Passworts für euer E-Mail-Konto
Richtig gelesen. Bei der Verknüpfung eures E-Mail-Kontos mit der Blue Mail App wird eure E-Mail-Adresse inklusive Login-Passwort an den Hersteller (mtu.bluemailapp.com) übermittelt. Was sagt die Datenschutzerklärung zu dieser Praxis?:
What sort of information do we collect?
[…]
Blue Mail is designed to help you manage your email account with other providers, like Gmail. When you link your email accounts (provided by third parties) to Blue Mail, you give Blue Mail permission to securely access your information contained in or associated with those accounts. If you link your third party account to Blue Mail, that third party may also pass certain information along about your use of its service. While Blue Mail usually does not store your password to these email accounts, the service may securely store some emails on a temporary basis in order to deliver them to you as quickly as possible and keep track of your deferred messages.
Damit meint Blue Mail offenbar:
Hey, wir greifen deine E-Mail-Adresse inklusive Passwort ab. Was soll da schon passieren?
Einfach unfassbar. Ich rate dringend dazu diese App zu »entsorgen«. Anschließend solltet ihr euer Passwort für das E-Mail-Konto ändern und eine seriöse Mail-App wie bspw. K-9 Mail nutzen.
Was die App darüberhinaus noch »so treibt« könnt ihr demnächst auf mobilsicher.de nachlesen. Da sind so nette Dinge dabei wie das Auslesen aller E-Mail-Adressen (Kontakte) aus dem Postfach und die Übermittlung an den Betreiber von Blue Mail. Ihr findet das unverschämt? Na hört mal, irgendwie muss sich diese kostenlose App ja wohl finanzieren… [Ironie aus].
Update: Auch die Mail-App TypeApp übermittelt eure E-Mail-Adresse inklusive Passwort an den Betreiber.
Hinweis
Im Beitrag Blue Mail | TypeApp: E-Mail Login-Daten gehen an Anbieter habe ich nochmal ein paar Dinge konkretisiert.
Sicheres Passwort wählen: Der Zufall entscheidet
Blue Mail | TypeApp: E-Mail Login-Daten gehen an Anbieter
TypeApp: Weitere Mail-App versendet Login-Passwort
F-Droid und App-Alternativen – Android unter Kontrolle Teil3
