Drittentwickler lesen routinemäßig und millionenfach die E-Mails von Gmail-Nutzern.

Seit zwei Jahren warne ich vor Apps wie BlueMail, TypeApp und auch Outlook. Bei denen steht das alles in den AGB, die niemand liest. Es ist aber nicht so, dass dadurch die Apps nichts bedenklicher machen. Es ist nur Augen vor der Realität verschließen.

Joo...aber
"Wenn die Entwickler sich eine entsprechende Erlaubnis bei den Nutzern einholen, können sie routinemäßig die Inbox durchforsten und auf diesem Wege die E-Mails lesen."
und
"Damit die Drittentwickler Zugriff auf die Mail erhalten, muss der Nutzer ihnen eine entsprechende Erlaubnis gewähren. Das geschieht in der Regel für die Nutzung von kostenlosen Mail-Diensten wie automatischen Reiseplanern oder Preisvergleichs-Portalen."

Wer sowas macht, ist mMn schon noch einen Streifen blöder, als ein Überall-OK-Klicker...

— geändert am 03.07.2018, 19:55:37

Immerhin gibt man ja selbst aktiv auf Nachfrage die Genehmigung für solche Apps - man kann das jederzeit prüfen im Google-Konto.

https://stadt-bremerhaven.de/google-mail-fremde-greifen-auf-eure-mails-zu-weil-ihr-es-zugelassen-habt/

— geändert am 03.07.2018, 20:04:05

Alles soweit richtig, allerdings beginnt Verständnis mit lesen der AGB und mit der Beschäftigung mit den technischen Grundlagen. IT ist aber leider für viele unverständlich. Zwischen den Zeilen lesen kann nicht jeder. Eine Idee entwickeln, was blumig umschrieben wird, auch nicht. Mit Smart Devices wird genau das ungeniert ausgenutzt.

Stimmt grundsätzlich. Hier geht es ja um Gmail. Und wenn eine App aus irgendwelchen Gründen Zugriff auf einen der Google Dienste (hier: Gmail) möchte, wird man aktiv um Erlaubnis gefragt (man muss an dieser Stelle also nicht unbedingt die AGB lesen). In diesem Moment ist der Zugriff klar, wenn man zustimmt.

— geändert am 03.07.2018, 20:29:16

Doch, ich bin schon der Ansicht, dass man dazu die AGB jeden muss. Wofür das OAuth-Token genutzt wird, steht nur dort. Hoffentlich steht es irgendwo.

Sehe ich in der Praxis anders:

Entweder ich bin durch die Frage um Erlaubnis gewarnt und lehne ab - oder ich stimme zu und muss mit allem rechnen. Wenn ich jemandem den Zugriff auf meine Mails erlaube, hat er den Zugriff . Egal was dann noch in den AGB steht, da würde ich nicht unbedingt vertrauen.

Finde das beim Google-Konto tatsächlich relativ gut gelöst. Unbemerkter Zugriff geht nicht.

Eine App fragt nach einem OAuth-Token, also meint Otto Normal, dass er dieses der App gewährt. Dass er es dem Entwickler gewährt, erfährt er nur aus den AGB und das zudem beschönigend formuliert.

Jede E-Mail-App kann auch ohne OAuth alle Zugangsdaten an den Entwickler übermitteln und dann man der die E-Mails lesen, unabhängig, ob man selbst die App noch nutzt.

Wenn man sogenannte intelligente Sortierung anderen erlaubt als dem Mail-Provider, sollten alle Alarmglocken läuten. Tun sie aber nicht.

Aries

Eine App fragt nach einem OAuth-Token, also meint Otto Normal, dass er dieses der App gewährt. Dass er es dem Entwickler gewährt, erfährt er nur aus den AGB und das zudem beschönigend formuliert.

Gut finde ich, dass eben nicht die App den Benutzer fragt, sondern Google den Benutzer ausdrücklich fragt, dazu auch noch weitere Hilfe anbietet, und auch in verständlicher Sprache. Da kann auch Otto Normaldings die Erlaubnis verweigern (ob er es tatsächlich tut, ist eine andere Sache)

Jede E-Mail-App kann auch ohne OAuth alle Zugangsdaten an den Entwickler übermitteln und dann man der die E-Mails lesen, unabhängig, ob man selbst die App noch nutzt.

Das ist aber nun eher kein Google-Problem, sondern vor allem ein Problem bei anderen Mailprovidern. In vernünftigen Mail-Apps muss ich niemals mein Google-Passwort eingeben. Habe ich ein Mailkonto bei einem anderen Anbieter, bin ich oft gezwungen, mein Passwort einzugeben (was dann wie wir ja wissen je nach App beim Appanbieter landet)

Und ja, eine Mail-App hat Zugriff auf die Mails und kann sie lesen. Im Zweifel also die App des Mailproviders verwenden.

Wenn man sogenannte intelligente Sortierung anderen erlaubt als dem Mail-Provider, sollten alle Alarmglocken läuten. Tun sie aber nicht.

Leider.

Hallo,

da stimme ich @Brian voll zu!
Ich nutze nur die Apps der Hersteller (Web.de und Gmail) im Handy und am PC den Browser.
Da ich Gmail nur wegen des Playstore nutze - also keine Mails damit schreibe oder irgendwelche andere Konten damit verbinde - habe ich da auch noch nie irgendwas nachgelesen.

Brauchen die Entwickler/Drittanbieter dazu kein Passwort des Benutzers?
Da wäre ja dann, bei Nutzung des Google-Kontos zur Anmeldung bei anderen Diensten, Chats usw. der Zugriff auch dort möglich!?

Grüße aus Leipzig

Oh Gott... Als hätte ich was zu verbergen...

Gerade bei kostenlosen E-Mail-Konten sind die Apps der Provider voll mit Trackern. Außerdem müllt man sich sein Gerät zu, was schnell zu Lasten der Performance geht.

Eine E-Mail-App reicht vollkommen aus und die muss Open Source und verbreitet sein, damit sie genug Leute im Auge haben, um Fehler und versteckte Funktionen schnell zu finden. Auf dem PC ist das Mozilla Thunderbird und unter Android K-9 Mail.

OAuth ist einfach, aber ich stand dem immer kritisch gegenüber. Bequemlichkeit geht immer zu Lasten von Sicherheit.

Sicherheit und Privatsphäre ist auf Smart Devices ein umfangreiches Feld und wird selten erkannt, weil es im Hintergrund passiert. Würden ständig zwanzig Leute hinter uns herlaufen und protokollieren, was wir machen, würden wir denen schnell die Leviten lesen. Auf Smart Devices passiert genau das, ohne dass wir es sehen und deshalb bewerten viele es als nicht so kritisch.

Jeder ist für sich verantwortlich, aber auch für seine Kontakte, denn auch von denen gehen Daten über meine Apps an Hinz und Kunz. Also muss man lesen, welche Verträge man eingeht.

— geändert am 04.07.2018, 13:17:05

Letzteres sehe ich genauso.

ColaDeveloper

Oh Gott... Als hätte ich was zu verbergen...

Eben. Soll doch jeder ruhig wissen, dass du aus der Nürnberger Ecke kommst und dort ein Girokonto bei der Sparkasse hast . Mehr schreibe ich besser nicht

— geändert am 04.07.2018, 16:41:27

So meinte ich das auch .

Zurück zum Thema:
Inzwischen beruhigen sich auch diverse Medien wieder:
http://m.spiegel.de/netzwelt/apps/gmail-nein-fremde-entwickler-koennen-nicht-einfach-so-ihre-e-mails-lesen-a-1216543.html

netzpolitik.org hatte ursprünglich einen alarmierendem Artikel veröffentlicht, den sie nach etwas Nachdenken dann doch wieder gelöscht haben (findet man nur im Webarchiv...)