Kritischer Synchronisierungs-Fehler
Edison-Nutzer hatten teils Zugriff auf fremde E-Mails
Nutzer der E-Mail-App Edison hatten teilweise fremde E-Mails in ihrem Posteingang. Dabei handelte es sich den Entwicklern der App zufolge um ein Software-Problem, das mittlerweile behoben ist.
At 10:50 PM PST Friday evening a security bug was introduced for a small fraction of our iOS users. We have rolled that update back. All impacted users are being logged out and will need to re-login.
— Edison (@Edison_apps) May 16, 2020
Wie die Edison-Entwickler mitteilen, trat der Fehler im Zusammenhang mit einem aktuellen Update der iOS-Version von Edison-Mail auf. Anlass dürfte demnach eine mit der vor dem Wochenende veröffentlichten Version der App integrierte erweiterte Synchronisierungs-Funktion sein. Den Entwicklern zufolge waren 6.480 Nutzer potenziell betroffen, es seien dabei allerdings keine Passwörter oder sonstige Zugangsdaten in fremde Hände gelangt.
Persönliche Daten in den Händen der App-Entwickler
Offenbar sahen sich Edison-Nutzer mit genau einem jener Probleme konfrontiert, vor denen wir im Zusammenhang mit der Verwendung von Drittanbieter-E-Mails mit Zusatzfunktionen regelmäßig warnen. Um erweiterte Push-Mitteilungen oder andere, nicht im E-Mail-Standardprotokoll enthaltene Funktionen zu bieten, benötigen die Anbieter vollumfängliche Zugriff auf die E-Mail-Konten, teils lassen sich die beworbenen Funktionen auch nur bereitstellen, wenn die unverschlüsselten Mails gelesen und analysiert werden. Wir haben erst im Zusammenhang der Vorstellung der Mac-Version von Edison vor wenigen Monaten auf die damit verbundenen Gefahren hingewiesen.
Blöd für die Anwender, die aus Sicherheitsgründen Ersatz für die Apple Mail App gesucht haben? Hoffe ja 13.5 erscheint morgen.
Wobei man von großer Ausnutzung dieser Schwachstelle bei Apple auch nichts hört?
Oder hat da jemand andere Infos?
Nö
Lol. Warum solltest du davon hören. Meinst du die Industriespione sagen heise bescheid?
Und denk dran: social engineering faengt bei kleinen Leuten an. Also für den Fall, dass du denkst „ich bin nicht gefährdet, bin nur Mitarbeiter“
Direkt gelöscht, geht mal gar nicht.
Kurzschlusshandlung?
Findest du? Für mich wäre das ein massiver Vertrauensbruch – ich hätte die App auch direkt gelöscht.
Das Problem: Wenn du sie installiert hattest, sind deine Daten schon auf dem Server.
Hatte zum Glück nur einen Testaccount dort. Für mich hat es sich damit aber auch erledigt.
Jeder kann sich mal kleinere Bugs erlauben aber ein so krasser Fehler beim Kernprodukt (die machen ja ausschließlich Mail) geht gar nicht.
Warum hast du die App üebrhaupt installiert, wenn doch bekannt ist, dass den Entwicklern du den Zugriff auf deine E-Konten gewährst (sofern Push usw. aktiviert wurde)?
Dann musst du jetzt nur noch alle Passwörter ändern.
Das ist das Problem bei Anwendungen die die Mails über den eigenen Server verarbeiten. Dies passiert ja meistens wenn man Dinge wie eine Tracking Funktion oder scheduled Mails haben möchte. Ich suche so z.B. seit langem nach einer Macapp wo man eine Lesebestätigung anfordern kann ohne dass dafür die Mails (oder teile davon) auf einen Fremden Server geladen werden. Bisher habe ich nichts gefunden. Auch ist mir aufgefallen, dass viele Anwendungen wir „Spark“ Datenschutztechnisch bedenklich sind (Stichwort apis).
@ifun Redaktion: Vielleicjt könntet ihr mal einen ausgiebigen Artikel zu diesem Thema – also Mailsoftware für MacOS und ios – machen.
Moment mal. Irgendwie finde ich es etwas seltsam, wenn ich mir überlege, wie das mit der Lesebestätigung funktionieren soll. Du erwartest für dich Datenschutz, aber dürfte nicht genau andersrum eine solche Lesebestätigung zum Problem werden? Nicht mal die Funktion selbst, sondern wie es aktuell in vielen Fällen umgesetzt wird.
Warum schafft es die Outlook App denn dann? Angeblich werden hier ja keine Zugangsdaten mehr gespeichert?
Was schafft diese?
Outlook speichert angeblich keine Zugangsdaten mehr.
Vor langer Zeit wurde auch gesagt, dass die Entwickler von Outlook auch einen gewissen Zugriff auf E-Mails haben. Müsste man mal herausgooglen …
Gar nicht.
Immer das gleiche Prinzip mit den Zugangsdaten, sowohl bei Outlook, Spark als auch dieser hier. Die Mailprotokolle geben solche Funktionen einfach nicht her, deswegen geht es nur so.
Ähm Hans da irrst du aber gewaltig, die Outlook App speichert das klar. https://futurezone.at/apps/outlook-fuer-ios-speichert-zugangsdaten-auf-microsoft-server/110.949.897
wie kann man so dumm sein und seine Mails über diesen Dienst leiten? Ich würde niemals erlauben einen Mailprogramm die Daten von meinem Mailserver auf deren Server zwischen zu speichern.
Meist ist es doch so, dass es der Normaluser gar nicht rafft, was er da tut …..
Selber Schud wer sowas nutzt.
Ich habe es noch nicht ausführlich testen können aber ich hab nur gutes gelesen. Canary Mail als alternative:
https://apps.apple.com/de/app/canary-mail/id1155470386?l=en
Das selbe mit Newton:
https://apps.apple.com/de/app/newton-mail-email-app/id721677994?l=en
@chris:
Ich würde mich wirklich freuen, wenn ihr einen Alternativ-Mail-Programm-Test machen würdet. Apple Mail ist bei mir seit iOS 13 leider zu unzuverlässig (Mails werden trotz Notification erst nach vor- und zurück angezeigt etc. pp). Bin jetzt bei Outlook, aber dort funktioniert aus nicht erklärlichen Gründen ein Gmail-Account nicht… Alles schon probiert. Emails scheinen Neuland zu sein…
Auf der Webseite von Edison steht : „We have always been dedicated to user control and privacy, and as such Edison is currently GDPR compliant and makes certain that consent is provided to collect the data we receive and individuals can exercise their right to delete, request, or opt-out of their data collect anytime.
“
Somit lügen die die Leute an. Die sind überhaupt nicht GDPR-comliant.
Somit : absolut NICHT vertrauenswürdig.
Was hat das mit Nicht-GDPR compliant zu tun? Weil denen ein Fehler unterlaufen ist?
GDPR compliant bedeutet, dass die Datenverarbeitung nach geltendem EU Recht und Gesetz getätigt wird. Dies kann auch der Fall sein, wenn man Services anbietet, die Content analysieren etc.
Warum sollten sie es nicht sein? Wenn der User informiert wird und der Nutzung zu stimmt (Consent is provided) gibt es da kein Problem mit der DSGVO. Problematisch ist nur der Bug denn da haben die Nutzer sicherlich nicht zugestimmt.
Da ihr durch die Installation keinen gültigen ADV-Vertrag abgeschlossen habt, macht sich nicht nur der Anbieter, sondern auch ihr strafbar, wenn Ihr von denen E-Mails von Fremd-Personen verarbeiten lasst. Bitte beschäftigt euch mit der GDPR.
Ich hatte Edison tatsächlich auch mal in der engeren Auswahl (zum Glück aber verworfen). Problem in iOS (iPadOS) ist der Zugriff auf Exchange via Exchange Web Services (EWS). MacOS beherrscht das ja. Unter iOS/iPadOS benutze ich derzeit Airmail (ohne Pro-Abo) oder alternativ OWA im Browser bzw. als WebApp. Outlook unterstützt leider kein EWS. Hat da jemand einen Tipp?
@gMan auch Newton speichert seine Mails und sogar die Attachments. Anders können die die Features sonst gar nicht umsetzen die sie anbieten.
Push Notification!
Das ist der Hauptgrund, warum 3rd-Party Apps Vollzugriff auf euer Mailpostfach benötigen und alles über deren Server laufen lassen. (inkl. Speicherung der Zugangsdaten)
Push Notification kann keine andere MailApp. Nur iOS Mail kann Push.
Wollt ihr also Push Notification für Mails mit 3rd-Party-App, dann müsst ihr dem Anbieter der App erlauben, eure Mails zwischenzuspeicher. Der prüft alle paar Sekunden euer Postfach, speichert Sie dann auf
seinen Systemen zwischen und sendet über seinen Push Notification Server an euch eine
Push Notification.
Wenn ihr das nicht aktiviert (ist sehr oft auch als verklausuliertes Item in den Settings vermerkt) dann bleibt alles lokal auf eurem iPhone. Aber halt auch kein Push Notification.
Man kann aber manuell auf z.B. 15 Min.-Sync einstellen, das reicht doch ebenfalls für 99% der User.
#isso
Ja, so ist es. Aber, welche Apps speichern dann wirklich keine Daten auf ihren Server.n Das wäre interessant, vielleicht auch mal für einen Vergleichstest.
Was erwartet man von einer kostenlosen Mail App…. naja Geiz ist geil
Spricht doch für die App und die extreme Flexibilität. Einfacher geht es ja nicht, fremde Postfächer einzubinden.