myMail-Client für mobile Apple-Geräte verrät Passwörter
Auf iOS-Geräten wurde in dem im App-Store von Apple erhältlichen myMail-Client von MGL MY.COM eine kritische Sicherheitslücke entdeckt, die zu einer unverschlüsselten Übertragung von Passwörtern führen kann. Experten raten, den Client, der die E-Mail-Konten der Nutzer:innen bei vielen populären Mail-Diensten zusammenführen kann, bis zur Schließung der Lücke nicht mehr zu verwenden.
Das Berliner Unternehmen mailbox.org, ein E-Mail-Dienst, der sich auf Datenschutz und Datensicherheit spezialisiert hat, hat eine gravierende Sicherheitslücke im myMail-Client für iOS entdeckt. Diese Lücke führt dazu, dass Nutzer-Passwörter und E-Mails unverschlüsselt übertragen werden können. mailbox.org hat gemeinsam mit dem Sicherheitsforscher Mike Kuketz eine entsprechende Warnung an die Nutzer:innen von myMail veröffentlicht, um auf diese Gefahr aufmerksam zu machen.
Die Sicherheitslücke wurde entdeckt, nachdem Kund:innen im User-Forum von mailbox.org auf Übertragungsfehler beim Versenden von E-Mails über den myMail-Client hingewiesen haben. Nach einer eingehenden Untersuchung stellten die Experten fest, dass die myMail-App versucht, Passwörter ungesichert und ohne die sonst vorgeschriebene TLS-Verschlüsselung zu übertragen. Dies stellt ein erhebliches Sicherheitsrisiko dar. So gelange es dem Sicherheitsteam beispielsweise, Nutzerpasswörter aus den Verbindungen zu extrahieren.
Wie Peer Heinlein, Geschäftsführer von mailbox.org erklärt, lehnen die Server des Unternehmens unverschlüsselte Verbindungen grundsätzlich ab, um die Nutzersicherheit zu gewährleisten. Heinlein: „Aus diesem Grund scheiterten die fehlerhaften Verbindungsversuche der myMail-App auf ihren Servern, was dazu führte, dass Nutzer:innen und Postmaster des Dienstes auf das Problem aufmerksam wurden.“
Diese Sicherheitslücke betrifft nicht nur Kund:innen von mailbox.org, sondern stellt ein generelles Sicherheitsrisiko für alle Nutzer:innen dar, die den myMail-Client verwenden. Wenn andere Provider unverschlüsselte Verbindungen zulassen und die myMail-App weiterhin funktioniert, können Dritte in diesen Fällen Passwörter abgreifen oder den Inhalt von unverschlüsselten E-Mails mitlesen, insbesondere wenn sich Nutzer:innen in einem offenen Netzwerk befinden. Es ist daher dringend zu empfehlen, dass Nutzer:innen auf alternative E-Mail-Apps umsteigen, bis das Problem behoben ist. Es gibt zahlreiche alternative E-Mail-Clients, die höhere Sicherheitsstandards bieten und die Privatsphäre von Nutzer:innen besser schützen. Gleichzeitig zeige der aktuelle Vorfall einmal mehr, wie wichtig es ist, ausschließlich über sicher konfigurierte und Verschlüsselung erzwingende Systeme zu kommunizieren.
Peer Heinlein, Geschäftsführer von mailbox.org