iphone-ticker.de — Alles zum iPhone. Seit 2007. 38 657 Artikel
   

E-Mail-App Spark speichert eure Logins in der Cloud

Artikel auf Mastodon teilen.
44 Kommentare 44

Ernüchterung macht sich breit. Nach dem Start der famosen E-Mail-Applikation Spark – ifun.de berichtete – haben sich die Macher im Hausblog nun erstmals zum Umgang mit den Zugangsdaten ihrer Nutzer geäußert und räumen einen konzeptuellen Fehler ihrer App ein.

personal

Fangen wir vorne an: Anders als initital kommuniziert arbeitet Spark nicht ausschließlich lokal auf euren Geräten, sondern nutzt eine zusätzliche Online-Komponente, die eure Accounts auf neue E-Mails überprüft und beimVersand neuer Mails von der Apple Watch hilft. Hierzu, das Spark Team nutzt die Cloud-Infrastruktur Amazons, sichert das Readdle-Team eure E-Mail Logins um euren Account alle paar Minuten auf neue Posteingänge prüfen zu können.

Während man von E-Mail-Anbietern die die Autorisierung via OAuth unterstützten, nur einen Zugangs-Token sichert, speichert das Readdle-Team von allen anderen E-Mails-Accounts die kompletten Zugangsdaten. Solltet ihr also nicht auf Google und Co. setzten, sondern einen privaten Account, einen Exchange-Server oder iCloud einsetzen, dann liegen Readdle eure Zugangsdaten im Klartext vor.

Das Problem: Die Spark-Verantwortlichen sichern nicht nur die Login-Daten all jener Nutzer, die sich für die Zustellung von Push-Nachrichten entschieden haben, sondern speichern grundsätzlich alle Accounts. Warum? Gute Frage.

Readdle will das Verhalten seiner Mail-App jetzt entsprechend umbauen und hat angekündigt eure Logins zukünftig nur noch dann zu sichern, wenn ihr euch in der App für die Zustellung von Push-Nachrichten entschieden habt. Sobald ihr die Mail-App Spark von all euren Geräten gelöscht habt, sollen die gesicherten Logins zudem automatisch aus dem Netz entfernt werden. Eine Info, die man auch im Vorfeld der App-Freigabe hätte kommunizieren können.

When you delete Spark from all your devices, we remove all your account information from our database as soon as we are aware.

App Icon
App Not Found
Seller Not Found
Free
19.73MB
Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
04. Jun 2015 um 09:13 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    44 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
    • Twittelatoruser

      Und was ist mit der App Boxer? Ich habe mit der Suchmaschine bisher nichts Negatives gefunden, oder ich habe dies übersehen. Bedenklich ist nur, dass sie Push unterstützen. Wohin wandern dann die Daten?

  • Die App selber ist aber einfach genial, muss man trotzdem sagen.

    • Volle Zustimmung. Und immerhin sorgen Sie jetzt selbst für Transparenz. Sofern sie die App jetzt umbauen wie gesagt, bleibt Spark für mich die einzig brauchbare Mail App auf den iPhone.

      • Ist das nicht traurig? Das geht dann mal wieder mit Android um einiges besser und vor allem sicherer!

    • Ja, ist wirklich eine Durchdachte E-Mail- App.. Hab sie mit einem Freemailaccount von mir getestet, über den meistens nur Spam läuft. Und Spark hat es tatsächlich bis auf sehr wenige Ausnahmen geschafft, die wichtigen E-Mails zu finden und ganz lben einzuordnen. Und auch sehr schön nach News geordnet.
      Gut, dass ich mit den anderen Mailaccounts gewartet habe.. Und ich hoffe, dass die Jungs der Softwareschmiede das anders hinbekommen. So hat es leider nur „Datenklaupotential“.

  • Finde ich gut, dass die ihren Fehler zugeben und nicht vertuschen wollen wir 99% der großen Unternehmen.
    Passwort ändern und gut ist, jedoch sind die meisten Accounts für Hacker und Spione eh uninteressant, denn ich glaube kaum, dass Merkel Spark benutzt :D

    • Naja bei Merkel ist das sowieso schon überflüssig, nach dem Abhören Skandal :D

      • „Readdle will das Verhalten seiner Mail-App jetzt entsprechend umbauen…“ Klingt für mich so, als würde Readdle behaupten, die App hätte sich gegen deren Willen selbst umprogrammiert. :-)
        Mir war das von vorne rein klar,… Hatte die App zwar installiert aber nur um diese zu haben, falls Sie kostenpflichtig wird.
        Aber wenn die Macher „anders als initial kommuniziert“ haben, kann man die nicht verklagen?

  • Hab sie schon letzte Woche wieder gelöscht. Hat den Akku leergesaugt.

  • Hab genau sowas vermutet und zum Glück nur meinen 4. Account dort eingerichtet… Passwort wird aber trotzdem sofort geändert

  • Würde App Analytics von Apple die Anzahl der gelöschten Apps anzeigen, hätten sie nun wohl eine hohe Anzahl….

  • Nachdem die App nicht einmal Alias-Adressen verwenden kann, was über Umwege sogar mit der Mail-App geht, war sie bei mir auch gleich wieder gelöscht. Muss man in der Cloud noch was löschen oder reicht es, die App zu deinstallieren?

  • Und was ist mit den Connected Services, die Evernote, Dropbox, GDrive & Co mit Spark vervinden? Hat Readle von denen dann auch die Logins?

  • und gelöscht. All diese Alternativen Weltverbesserer Email Apps werden erstmal mit einem „billigen Spamaccount“ getestet. Allzuoft bewahrheitet sich nämlich einige Tage später wie schlampig mit logindaten und Inhalten umgegangen wird

  • Genau davor hatte ich mit einem ‚man in the middle‘ im letzten Artikel gewarnt. Diese mal die Entwickler und all jene, die auf die Amazon Server Zugang haben;)
    Daher würde ich ausschließlich Apple Mail oder eine direkt App der Mailanbieter selbst nutzen. Alles andere ist zu gefährlich und bei Geschäftskonten eh untersagt…

    • Twittelatoruser

      Ähm, du kennst dich technisch aus? Laut Kommentar anscheinend nicht. Denn laut deinem Kommentar würde z.B. Die Outlook App nicht die Firmenzugangsdaten zum Exchange-Server extern in der Cloud speichern.

      • Was du immer in Kommentare hineininterpretierst?!
        Ließ dir bitte nochmal alles durch!

  • Allein aus meiner Trägheit heraus, habe ich Spark erst gar nicht geladen. Der iOS eigene Mail Client reicht doch (für Privat) völlig aus, auch wenn die iCloud die letzte Zeit rumzickt. Zudem denke ich, dass die intern. agierenden Hackerbanden sich über die Jahre den ‚Markt‘ längst aufgeteilt, sprich die Spreu vom Weizen getrennt, haben.

    • Sorry, aber die iOS Mail App ist echt nur nutzbar, wenn man wenig Mail bekommt. Sonst eine Zumutung.

      • Moin
        in Verbindung mit zwei Exchange Accounts und einem IMAP Account und deutlich über 100 Mails am Tag kann ich mich über die iOS Mail App nicht beklagen.
        Was ist Dein Problem?
        Grüße
        Der Dingens

  • Ist doch klar. Sonst kann man ja schließlich keine Push bekommen.

  • Ich verstehe eh nicht warum man im privaten Umfeld so ein Pseudopush braucht. Meine Mails werden geladen, wenn ich die Mail App öffne und gut ist.
    Wer einen echten Push braucht sollte sich einen Exchange leisten, das schont auch den Akku.
    Und wer ein paar automatische Serverfilterregeln konfiguriert hat kommt auch bei vielen Mails gut mit der Standardapp zurecht. Alles andere macht man doch dann eh wieder am Rechner und nicht am iPhone.

  • An die iFun-Crew:
    Vorweg ein großes Lob an Euch, denn Ihr leistet wirklich gute Informationsarbreit und meinen Respekt für die Mühe und die Zeit, die Ihr hierfür aufbringt. Allerdings geht damit nunmal auch Verantwortung einher.
    Letztere scheint Ihr in diesem Fall (Spark-App) sträflich vernachlässigt zu haben, denn selbst der Laie stellt sich bei einer Mail-App wohl grundsätzlich die Frage, was mit seinen Daten, insbesondere seinen LogIn-Daten, passiert.
    Da hättet gerade Ihr mit Eurem Sachverstand erst Recht fragen bzw. hinterfragen müssen, anstatt „blind“ eine App über den grünen Klee zu loben.
    Auch wenn es oberlehrerhaft klingt: lasst es Euch eine Lehre sein!
    …denn auf >Euch< hören (lesen) jede Menge unbedarfter User, die Eurem Urteil vertrauen.
    Grundsätzlich habt Ihr Euch dieses Vertrauen in der Vergangenheit durch Eure Arbeit redlich verdient, also wäre es schade, wenn es sich ändern würde.
    Ansonsten danke für Euer Engagement!

  • Schämt Euch!

    Ich hatte gerade einen längeren Kommentar verfasst, indem ich Eure Leistung, aber auch Eure Verantwortung benannt habe. Leider ist dieser wohl „verschütt“ gegangen (ein Schelm, wer Böses dabei denkt…) und somit dann >leider< in Kurzform (s.o.). :-/

  • Wie kommt ihr denn zu der Annahme mit dem Klartext? Den Absatz

    „All connections to our servers are protected with TLS. The Amazon AWS databases are encrypted, and to make things even more secure we additionally encrypt your password in the database. It makes it totally unreadable by a human being.“

    aus dem Blog interpretiere ich anders. Trotzdem verzichte ich dann lieber auf den Einsatz der App. Schade.

    • Klartext meint, dass die Spark-App alle Passwörter im Klartext kennt (du gibst sie dort schließlich selbst ein) und diese zum Zugriff auf die Mail-Server auch im Klartext an diese schicken muss. Das wäre noch kein Problem, denn soweit bleiben die Passwörter genau bei den Parteien, die diese Passwörter eh kennen müssen (also Dir, dem Mail-Client und dem Mail-Anbieter).

      Nun kann Spark aber keine Push-Benachrichtigungen verschicken, wenn es nicht weiß, ob du neue Mails bekommen hast. Daher muss es sich alle paar Minuten in deine Mail-Konten einloggen und nachsehen. Da das nicht vom iPhone aus geht (derartige Hintergrund-Aktivität erlaubt Apple nicht und würde den Akku auch ratzfatz leersaugen), muss das von einem Server aus gemacht werden. Und dazu benötigt dieser Server die Zugangsdaten wieder im Klartext, oder falls der Mail-Anbieter OAuth unterstützt, ein Token, welches ebenfalls vollen Zugriff aufs Konto erlaubt, ohne allerdings dein Passwort zu verraten. Die Übermittlung zum Server ist zwar verschlüsselt (TLS) und es wird auf dem Server verschlüsselt gespeichert, aber diese Schlüssel hast nicht du, sondern der Anbieter (Spark), denn der muss die Daten ja wieder entschlüsseln können, damit der jederzeit sich in alle Konten einloggen kann um nach neuen Mails zu suchen…

      D.h. Deine Login-Daten sind nun nicht mehr unter deiner Kontrolle, dem Anbieter im Klartext bekannt (bzw. wo möglich nur die oauth-Token)

      • Vielen Dank für die tolle und ausführliche Antwort Alex! Jetzt hab ich es auch geschnallt :-)

    • Es ist trotzdem eine Unverschämtheit, den Anwender nicht darüber transparent zu informieren!
      Du möchtest doch auch gefragt werden, wenn jemand deine Kreditkarte verwenden möchte.

  • zum glück nur geladen
    jetzt noch vor dem test
    gelöscht

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 38657 Artikel in den vergangenen 6292 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven