Digitale Privatsphäre Beliebte Android-Apps übertragen E-Mail-Passwörter

Gmail-, Outlook- und GMX-Konto in einer App - klingt praktisch, ist aber riskant. Mehrere Anbieter gehen fahrlässig mit den sensiblen Anmelde-Daten um.

Von Marvin Strathmann

Korrektur: In einer früheren Version dieses Artikels hieß es, dass die Android-App Blue Mail Passwörter der Nutzer an die Entwickler der App übermittle. Das war zum Zeitpunkt der Veröffentlichung am 9. März nicht mehr korrekt. Blue Mail Inc. hatte zuvor ein Update auf Version 1.9.4.2 veröffentlicht, dass die Übertragung der Passwörter stoppt. Auch für die E-Mail-App Type App ist ein Update erschienen, sodass keine Passwörter mehr übertragen werden. In einer Bildunterschrift stand, dass Passwörter "im Klartext" übertragen würden. Das stimmt nicht: Blue Mail hat die Anmeldedaten TLS-verschlüsselt übermittelt.

Wer mehrere E-Mail-Adressen verwendet, kann sie mit Android-Apps wie My Mail oder Mail.ru einfach bündeln. Dann müssen Nutzer nicht Gmail, Outlook oder GMX einzeln abrufen, sondern haben alle Konten in einer App vereint. Doch in einigen Fällen geht der Komfort zu Lasten der Sicherheit: IT-Experte Mike Kuketz hat herausgefunden, dass E-Mail-Adressen und Passwörter der einzelnen Dienste im Klartext bei den Anbietern der Android-Apps landeten.

Dabei sollten die Entwickler die Kennwörter eigentlich gar nicht erst abfragen, schreibt Kuketz in einem Blogeintrag. E-Mail-Apps benötigen die Passwörter der Konten nicht, um die Mails abzurufen. Nutzer müssten sich lediglich gegenüber dem E-Mail-Dienst authentifizieren. Mit den sensiblen Login-Daten könnten Dritte das E-Mail-Konto übernehmen und dadurch Zugriff auf weitere Accounts erhalten, etwas das Amazon- oder Facebook-Konto. "Die Anbieter könnten jederzeit auf das E-Mail-Postfach der Nutzer zugreifen, ohne dass sie es mitbekommen würden", sagt Kuketz.

Nutzer sollten die Apps deinstallieren und Kennwörter ändern

Kuketz hat in seiner Analyse insgesamt sechs E-Mail-Apps gefunden, die Passwörter an die eigenen Server übermittelt haben sollen: Neben My Mail und Mail.ru seien demnach auch E-Mail für Outlook, Email, Blue Mail und Type App so vorgegangen. Im Google-Play-Store wurden sie zum Teil hervorragend bewertet und oft von mehreren Millionen Nutzern installiert. Alleine My Mail und Mail.ru kommen jeweils auf mehr als zehn Millionen Downloads.

Als Reaktion auf Kuketz' Analyse hat Blue Mail Inc. Updates veröffentlicht. Das Unternehmen entwickelt die Apps Blue Mail und Type App. In einer Pressemitteilung preisen die Entwickler die neue Version nun als "sichere Lösung für Android-Geräte" an, die "im Gegensatz zu anderen Apps" keine Passwörter übermittle. Ab Version 1.9.4.2 übertrage Blue Mail keine Passwörter mehr an den Anbieter, bestätigte Kuketz. Auch Type App sende die Passwörter der Nutzer nach einem Update nun nicht mehr an die Server der Entwickler, sagte Kuketz. In einer Stellungnahme versicherte Blue Mail Inc. der SZ, dass die Passwörter nicht gespeichert worden seien.

Im Gegensatz zu Blue Mail haben die Entwickler der App My Mail (zwischen 10 und 50 Millionen Downloads, 300 000 Rezensionen mit einer Durchschnittsbewertung von 4,5/5) nicht auf eine Anfrage reagiert. Kuketz empfiehlt Nutzern, die betroffenen Apps zu deinstallieren. Als Alternative schlägt er die Open-Source-App K-9 Mail für Android vor, die ähnliche Funktionen bietet.

Sieben Tipps für sichere Passwörter

Die meisten Menschen nutzen viel zu simple Kennwörter. Vermutlich gehören Sie auch dazu. Heute wäre eine gute Gelegenheit, das zu ändern. Von Simon Hurtz und Marvin Strathmann mehr...