mailbox.org entdeckt unverschlüsselte Passwortübertragung in myMail
Sicherheit und Privatsphäre sind für uns bei mailbox.org von größter Bedeutung, insbesondere im Bereich der E-Mail-Kommunikation. Deshalb möchten wir Sie über eine kritische Sicherheitslücke im myMail-Client für iOS informieren, die wir kürzlich entdeckt haben. Diese Sicherheitslücke führt zu einer unverschlüsselten Übertragung von Nutzer-Passwörtern und E-Mails.
Unser Team wurde auf das Problem aufmerksam, nachdem unsere Kunden im User-Forum auf Übertragungsfehler beim Versenden von E-Mails über den myMail-Client hingewiesen haben. Nach einer gründlichen Untersuchung der Logs stellten wir fest, dass die myMail-App versucht, Passwörter ohne die sonst vorgeschriebene TLS-Verschlüsselung und somit ungesichert zu übertragen, was ein enormes Sicherheitsrisiko darstellt. Die App sendete dabei nach dem Verbindungsaufbau nicht das sonst übliche "STARTTLS"-Kommando, sondern übertrug stattdessen weiterhin ungesichert die Login-Daten des Nutzers. Infolgedessen konnten wir die Passwörter der Nutzer aus den Verbindungs-Log extrahieren.
Wir bei mailbox.org lehnen auf unseren Server solche unverschlüsselten Verbindungen konsequent ab, um Ihre Sicherheit jederzeit zu gewährleisten. Nur aus diesem Grunde scheiterten die Verbindungsversuche der myMail-App, so dass wir auf dieses Problem aufmerksam wurden.
Dieses Problem betrifft nicht nur unsere Kunden, sondern stellt auch ein generelles Sicherheitsrisiko für alle Benutzer dar, die den myMail-Client verwenden. Inhalte und Passwörter können von Dritten mitgelesen und abgegriffen werden, insbesondere wenn Benutzer sich in einem offenen Netzwerk befinden. Sofern andere Provider unverschlüsselte Verbindungen erlauben und in Verbindung mit der aktuellen Version der myMail-App genutzt werden, können Angreifer auch den Inhalt der unverschlüsselten E-Mails mitlesen.
Wir empfehlen Ihnen dringend, den myMail-Client in Verbindung mit unserem Dienst oder anderen E-Mail-Providern vorerst nicht mehr zu verwenden, bis die Entwickler der App diese Sicherheitsprobleme behoben haben. Es gibt zahlreiche alternative E-Mail-Clients, die höhere Sicherheitsstandards bieten und Ihre Privatsphäre besser schützen. Gleichzeitig unterstreicht der aktuelle Vorfall einmal mehr die Wichtigkeit, ausschließlich über sicher konfigurierte Systeme zu kommunizieren, die eine Verschlüsselung erzwingen.