Categories: Alerts

Kritische Sicherheitslücke in myMail-Client für iOS

Die Sicherheitsexperten von mailbox.org wurden auf die Sicherheitslücke aufmerksam, nachdem Kundenim User-Forum von mailbox.org auf Übertragungsfehler beim Versenden von E-Mails über den myMail-Client hingewiesen haben. Nach einer gründlichen Untersuchung der Logs stellte das Team fest, dass die myMail-App versucht, Passwörter ohne die sonst vorgeschriebene TLS-Verschlüsselung ungesichert zu übertragen, was ein enormes Sicherheitsrisiko darstellt. Das Team war damit auch in der Lage, in den Verbindungen Nutzerpasswörter zu extrahieren.

Laut Peer Heinlein, Geschäftsführer von mailbox.org, lehnen ihre Server unverschlüsselte Verbindungen grundsätzlich ab, um die Nutzersicherheit zu gewährleisten. Nur aus diesem Grunde scheiterten die fehlerhaften Verbindungsversuche der myMail-App, so dass Nutzer und Postmaster von mailbox.org stutzig wurden.

Das Problem ist nicht nur für Kunden von mailbox.org relevant: Es stellt auch ein generelles Sicherheitsrisiko für alle Nutzer dar, die den myMail-Client verwenden. Sofern andere Provider unverschlüsselte Verbindungen erlauben und die myMail-App weiterhin funktioniert, könnten Dritte in diesen Fällen Passwörter abgreifen oder den Inhalt der ebenso unverschlüsselten E-Mails mitlesen, wenn diese über den myMail-Client versendet werden, insbesondere wenn Nutzer sich in einem offenen Netzwerk befinden.

Das Team von mailbox.org empfiehlt dringend, den myMail-Client in Verbindung mit ihrem Dienst oder anderen E-Mail-Providern vorerst nicht mehr zu verwenden, bis die Sicherheitsprobleme behoben wurden. Es gibt zahlreiche alternative E-Mail-Clients, die höhere Sicherheitsstandards bieten und die Privatsphäre von Nutzer:innen besser schützen. Gleichzeitig zeige der aktuelle Vorfall einmal mehr, wie wichtig es ist, ausschließlich über sicher konfigurierte und Verschlüsselung erzwingende Systeme zu kommunizieren.

Roger Homrich

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

15 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

17 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

17 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

21 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

21 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

21 Stunden ago