Mike Kuketz
26. April 2023 | 13:00 Uhr

mailbox.org entdeckt unverschlüsselte Passwortübertragung in myMail

Das Team von mailbox.org hat kürzlich eine kritische Sicherheitslücke im myMail-Client für iOS entdeckt, welche zu einer unverschlüsselten Übertragung von Nutzer-Passwörtern und E-Mails führt.

mailbox.org wurde auf das Problem aufmerksam, nachdem Kunden im User-Forum auf Übertragungsfehler hingewiesen haben, die beim Versenden von E-Mails über den myMail-Client entstanden sind. Nach einer Untersuchung der Logs stellte das Team fest, dass die myMail-App versucht, Passwörter ohne die sonst vorgeschriebene TLS-Verschlüsselung zu übertragen. Die App sendete nach dem Verbindungsaufbau nicht das sonst übliche STARTTLS-Kommando, sondern übertrug stattdessen weiterhin die unverschlüsselten Login-Daten des Nutzers. Somit war mailbox.org in der Lage, die Passwörter aus den Verbindungslogs zu extrahieren bzw. mitzulesen.

Laut Peer Heinlein, Geschäftsführer von mailbox.org, lehnen ihre E-Mail-Server solche unverschlüsselten Verbindungen konsequent ab, um die Sicherheit der Benutzer zu gewährleisten. Nur aus diesem Grunde scheiterten die Verbindungsversuche der myMail-App, sodass Nutzer und Postmaster von mailbox.org stutzig wurden.

Dieses Problem ist nicht nur für Kunden von mailbox.org relevant: Es stellt auch ein generelles Sicherheitsrisiko für alle Benutzer dar, die den myMail-Client verwenden. Inhalte und Passwörter können von Dritten mitgelesen und abgegriffen werden, insbesondere dann, wenn die Benutzer sich in einem offenen Netzwerk (bspw. WLAN Flughafen, Bahn etc.) befinden. Sofern andere Provider unverschlüsselte Verbindungen erlauben und in Verbindung mit der aktuellen Version der myMail-App genutzt werden, können Angreifer auch den Inhalt der unverschlüsselten E-Mails mitlesen.

Daher empfiehlt mailbox.org dringend, den myMail-Client in Verbindung mit ihrem Dienst oder anderen E-Mail-Providern vorerst nicht mehr zu verwenden, bis die Entwickler der App die Sicherheitsprobleme behoben haben. Es gibt zahlreiche alternative E-Mail-Clients, die höhere Sicherheitsstandards bieten und die Privatsphäre besser schützen. Gleichzeitig unterstreicht der aktuelle Vorfall einmal mehr die Wichtigkeit, ausschließlich über sicher konfigurierte und Verschlüsselung erzwingende Systeme zu kommunizieren.

Hilf mit die Spendenziele zu erreichen! Mitmachen ➡
Ähnliche Beiträge
mailbox.org
13. Dezember 2021

mailbox.org: Verlässlich und vertrauenswürdig – E-Mails unter Kontrolle Teil2

Mit speziellen Funktionen (Sieve-Filter) könnt ihr mehr Kontrolle über eure E-Mails erhalten und gleichzeitig neuen Tracking-Methoden wie denen durch Identitätsprovider vorbeugen.
Bye Gmail
22. März 2021

Adieu Gmail, GMX, Outlook und Co. – E-Mails unter Kontrolle Teil1

Die Abkehr von einem FreeMailer wie Gmail, GMX, Outlook und Co. ist ein erster Schritt zu mehr digitaler Selbstbestimmung.
E-Mail Verschlüsselung
19. Juli 2013

Verschlüsselte E-Mails mit GnuPG als Supergrundrecht

E-Mail Verschlüsselung mit GnuPG als Schutz gegen Datenschnüffellei.
Sicheres Passwort
1. Februar 2017

Sicheres Passwort wählen: Der Zufall entscheidet

Ein Wegweiser für den kompetenten Umgang mit sicheren Passwörtern.
Kontakte- / Kalender-Sync
19. September 2022

Android & Desktop: Kontakte und Kalender synchronisieren – DAVx⁵ | Thunderbird

Synchronisation von Kontakten und Kalender via CardDAV und CalDAV - erklärt anhand Thunderbird und DAVx⁵.
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.