Direkt zum Inhalt

mailbox.org entdeckt unverschlüsselte Passwortübertragung in myMail

Warndreieck

Sicherheit und Privatsphäre sind für uns bei mailbox.org von größter Bedeutung, insbesondere im Bereich der E-Mail-Kommunikation. Deshalb möchten wir Sie über eine kritische Sicherheitslücke im myMail-Client für iOS informieren, die wir kürzlich entdeckt haben. Diese Sicherheitslücke führt zu einer unverschlüsselten Übertragung von Nutzer-Passwörtern und E-Mails.

Unser Team wurde auf das Problem aufmerksam, nachdem unsere Kunden im User-Forum auf Übertragungsfehler beim Versenden von E-Mails über den myMail-Client hingewiesen haben. Nach einer gründlichen Untersuchung der Logs stellten wir fest, dass die myMail-App versucht, Passwörter ohne die sonst vorgeschriebene TLS-Verschlüsselung und somit ungesichert zu übertragen, was ein enormes Sicherheitsrisiko darstellt. Die App sendete dabei nach dem Verbindungsaufbau nicht das sonst übliche "STARTTLS"-Kommando, sondern übertrug stattdessen weiterhin ungesichert die Login-Daten des Nutzers. Infolgedessen konnten wir die Passwörter der Nutzer aus den Verbindungs-Log extrahieren.

Wir bei mailbox.org lehnen auf unseren Server solche unverschlüsselten Verbindungen konsequent ab, um Ihre Sicherheit jederzeit zu gewährleisten. Nur aus diesem Grunde scheiterten die Verbindungsversuche der myMail-App, so dass wir auf dieses Problem aufmerksam wurden.

Dieses Problem betrifft nicht nur unsere Kunden, sondern stellt auch ein generelles Sicherheitsrisiko für alle Benutzer dar, die den myMail-Client verwenden. Inhalte und Passwörter können von Dritten mitgelesen und abgegriffen werden, insbesondere wenn Benutzer sich in einem offenen Netzwerk befinden. Sofern andere Provider unverschlüsselte Verbindungen erlauben und in Verbindung mit der aktuellen Version der myMail-App genutzt werden, können Angreifer auch den Inhalt der unverschlüsselten E-Mails mitlesen.

Wir empfehlen Ihnen dringend, den myMail-Client in Verbindung mit unserem Dienst oder anderen E-Mail-Providern vorerst nicht mehr zu verwenden, bis die Entwickler der App diese Sicherheitsprobleme behoben haben. Es gibt zahlreiche alternative E-Mail-Clients, die höhere Sicherheitsstandards bieten und Ihre Privatsphäre besser schützen. Gleichzeitig unterstreicht der aktuelle Vorfall einmal mehr die Wichtigkeit, ausschließlich über sicher konfigurierte Systeme zu kommunizieren, die eine Verschlüsselung erzwingen.

Weitere Neuigkeiten

mailbox Logo

mailbox wird zum digital souveränen Arbeitsplatz: Technik und Marke neu gedacht

Read more about mailbox wird zum digital souveränen Arbeitsplatz: Technik und Marke neu gedacht
Trophäe als Auszeichnung für exzellente Leistung

Unsere Sicherheitsstandards werden belohnt: Das BSI verleiht mailbox.org den Goldstatus!

Read more about Unsere Sicherheitsstandards werden belohnt: Das BSI verleiht mailbox.org den Goldstatus!
Menschen in einem Meeting freuen sich gemeinsam über einen Erfolg

Neue mailbox Suite: Frisches Design und smarte Features jetzt in der Beta testen

Read more about Neue mailbox Suite: Frisches Design und smarte Features jetzt in der Beta testen