Drittentwickler lesen routinemäßig und millionenfach die E-Mails von Gmail-Nutzern.

  • Antworten:16
  • OffenNicht stickyNicht beantwortet
C. F.
  • Blogger
  • Forum-Beiträge: 537

03.07.2018, 19:43:34 via Website

Dass der Schriftverkehr bei Gmail nicht sicher ist, war bis dato ja nichts Neues. Aber dass Entwickler quasi unbeschränkten Zugriff auf Mails haben, schlägt dem Fass dann doch den Boden aus:

Google erlaubt Entwicklern den Zugriff auf Millionen von E-Mails von Gmail-Nutzern. Wenn die Entwickler sich eine entsprechende Erlaubnis bei den Nutzern einholen, können sie routinemäßig die Inbox durchforsten und auf diesem Wege die E-Mails lesen. Das geht aus einem Bericht des Wall Street Journal hervor. Google hat Golem.de bestätigt, dass Drittentwickler sich Rechte für den Zugriff auf Mail-Konten der Nutzer beschaffen können. Manche der Drittfirmen werten die Nachrichten vollautomatisch aus, andere lassen ihre Mitarbeiter von Hand in E-Mails schauen, etwa um die eigene Software zu trainieren.

Damit die Drittentwickler Zugriff auf die Mail erhalten, muss der Nutzer ihnen eine entsprechende Erlaubnis gewähren. Das geschieht in der Regel für die Nutzung von kostenlosen Mail-Diensten wie automatischen Reiseplanern oder Preisvergleichs-Portalen. Das Wall Street Journal nennt unter anderem die Firma Return Path, die auf diese Weise bis zu 100 Millionen E-Mails pro Tag analysieren soll.

Den ganzen Artikel gibt's hier:

https://www.golem.de/news/datenschutz-drittfirmen-lesen-massenweise-gmail-postfaecher-1807-135289.html

Antworten
  • Forum-Beiträge: 15.650

03.07.2018, 19:50:00 via Website

Seit zwei Jahren warne ich vor Apps wie BlueMail, TypeApp und auch Outlook. Bei denen steht das alles in den AGB, die niemand liest. Es ist aber nicht so, dass dadurch die Apps nichts bedenklicher machen. Es ist nur Augen vor der Realität verschließen.

Grüße
Aries


Meine Nachbarn hören gute Musik, ob sie wollen oder nicht!

Antworten
  • Forum-Beiträge: 8.173

03.07.2018, 19:53:31 via Website

Joo...aber
"Wenn die Entwickler sich eine entsprechende Erlaubnis bei den Nutzern einholen, können sie routinemäßig die Inbox durchforsten und auf diesem Wege die E-Mails lesen."
und
"Damit die Drittentwickler Zugriff auf die Mail erhalten, muss der Nutzer ihnen eine entsprechende Erlaubnis gewähren. Das geschieht in der Regel für die Nutzung von kostenlosen Mail-Diensten wie automatischen Reiseplanern oder Preisvergleichs-Portalen."

Wer sowas macht, ist mMn schon noch einen Streifen blöder, als ein Überall-OK-Klicker... (silly)

— geändert am 03.07.2018, 19:55:37

if all else fails, read the instructions.

Antworten
  • Forum-Beiträge: 15.650

03.07.2018, 20:12:30 via Website

Alles soweit richtig, allerdings beginnt Verständnis mit lesen der AGB und mit der Beschäftigung mit den technischen Grundlagen. IT ist aber leider für viele unverständlich. Zwischen den Zeilen lesen kann nicht jeder. Eine Idee entwickeln, was blumig umschrieben wird, auch nicht. Mit Smart Devices wird genau das ungeniert ausgenutzt.

Grüße
Aries


Meine Nachbarn hören gute Musik, ob sie wollen oder nicht!

Antworten
  • Forum-Beiträge: 885

03.07.2018, 20:28:28 via Website

Stimmt grundsätzlich. Hier geht es ja um Gmail. Und wenn eine App aus irgendwelchen Gründen Zugriff auf einen der Google Dienste (hier: Gmail) möchte, wird man aktiv um Erlaubnis gefragt (man muss an dieser Stelle also nicht unbedingt die AGB lesen). In diesem Moment ist der Zugriff klar, wenn man zustimmt.

— geändert am 03.07.2018, 20:29:16

Antworten
  • Forum-Beiträge: 15.650

03.07.2018, 20:32:24 via Website

Doch, ich bin schon der Ansicht, dass man dazu die AGB jeden muss. Wofür das OAuth-Token genutzt wird, steht nur dort. Hoffentlich steht es irgendwo.

Grüße
Aries


Meine Nachbarn hören gute Musik, ob sie wollen oder nicht!

Antworten
  • Forum-Beiträge: 885

03.07.2018, 20:39:22 via Website

Sehe ich in der Praxis anders:

Entweder ich bin durch die Frage um Erlaubnis gewarnt und lehne ab - oder ich stimme zu und muss mit allem rechnen. Wenn ich jemandem den Zugriff auf meine Mails erlaube, hat er den Zugriff ;). Egal was dann noch in den AGB steht, da würde ich nicht unbedingt vertrauen.

Finde das beim Google-Konto tatsächlich relativ gut gelöst. Unbemerkter Zugriff geht nicht.

Antworten
  • Forum-Beiträge: 15.650

03.07.2018, 20:54:46 via Website

Eine App fragt nach einem OAuth-Token, also meint Otto Normal, dass er dieses der App gewährt. Dass er es dem Entwickler gewährt, erfährt er nur aus den AGB und das zudem beschönigend formuliert.

Jede E-Mail-App kann auch ohne OAuth alle Zugangsdaten an den Entwickler übermitteln und dann man der die E-Mails lesen, unabhängig, ob man selbst die App noch nutzt.

Wenn man sogenannte intelligente Sortierung anderen erlaubt als dem Mail-Provider, sollten alle Alarmglocken läuten. Tun sie aber nicht.

Grüße
Aries


Meine Nachbarn hören gute Musik, ob sie wollen oder nicht!

Antworten
  • Forum-Beiträge: 885

03.07.2018, 21:05:41 via Website

Aries

Eine App fragt nach einem OAuth-Token, also meint Otto Normal, dass er dieses der App gewährt. Dass er es dem Entwickler gewährt, erfährt er nur aus den AGB und das zudem beschönigend formuliert.

Gut finde ich, dass eben nicht die App den Benutzer fragt, sondern Google den Benutzer ausdrücklich fragt, dazu auch noch weitere Hilfe anbietet, und auch in verständlicher Sprache. Da kann auch Otto Normaldings die Erlaubnis verweigern (ob er es tatsächlich tut, ist eine andere Sache)

Jede E-Mail-App kann auch ohne OAuth alle Zugangsdaten an den Entwickler übermitteln und dann man der die E-Mails lesen, unabhängig, ob man selbst die App noch nutzt.

Das ist aber nun eher kein Google-Problem, sondern vor allem ein Problem bei anderen Mailprovidern. In vernünftigen Mail-Apps muss ich niemals mein Google-Passwort eingeben. Habe ich ein Mailkonto bei einem anderen Anbieter, bin ich oft gezwungen, mein Passwort einzugeben (was dann wie wir ja wissen je nach App beim Appanbieter landet)

Und ja, eine Mail-App hat Zugriff auf die Mails und kann sie lesen. Im Zweifel also die App des Mailproviders verwenden.

Wenn man sogenannte intelligente Sortierung anderen erlaubt als dem Mail-Provider, sollten alle Alarmglocken läuten. Tun sie aber nicht.

Leider.

Alter Leipziger

Antworten
  • Forum-Beiträge: 406

04.07.2018, 12:52:38 via Website

Hallo,

da stimme ich @Brian voll zu!
Ich nutze nur die Apps der Hersteller (Web.de und Gmail) im Handy und am PC den Browser.
Da ich Gmail nur wegen des Playstore nutze - also keine Mails damit schreibe oder irgendwelche andere Konten damit verbinde - habe ich da auch noch nie irgendwas nachgelesen.

Brauchen die Entwickler/Drittanbieter dazu kein Passwort des Benutzers?
Da wäre ja dann, bei Nutzung des Google-Kontos zur Anmeldung bei anderen Diensten, Chats usw. der Zugriff auch dort möglich!?

Grüße aus Leipzig

Antworten
Gelöschter Account
  • Forum-Beiträge: 101

04.07.2018, 12:54:38 via Website

Oh Gott... Als hätte ich was zu verbergen... :D

Antworten
  • Forum-Beiträge: 15.650

04.07.2018, 13:14:52 via Website

Gerade bei kostenlosen E-Mail-Konten sind die Apps der Provider voll mit Trackern. Außerdem müllt man sich sein Gerät zu, was schnell zu Lasten der Performance geht.

Eine E-Mail-App reicht vollkommen aus und die muss Open Source und verbreitet sein, damit sie genug Leute im Auge haben, um Fehler und versteckte Funktionen schnell zu finden. Auf dem PC ist das Mozilla Thunderbird und unter Android K-9 Mail.

OAuth ist einfach, aber ich stand dem immer kritisch gegenüber. Bequemlichkeit geht immer zu Lasten von Sicherheit.

Sicherheit und Privatsphäre ist auf Smart Devices ein umfangreiches Feld und wird selten erkannt, weil es im Hintergrund passiert. Würden ständig zwanzig Leute hinter uns herlaufen und protokollieren, was wir machen, würden wir denen schnell die Leviten lesen. Auf Smart Devices passiert genau das, ohne dass wir es sehen und deshalb bewerten viele es als nicht so kritisch.

Jeder ist für sich verantwortlich, aber auch für seine Kontakte, denn auch von denen gehen Daten über meine Apps an Hinz und Kunz. Also muss man lesen, welche Verträge man eingeht.

— geändert am 04.07.2018, 13:17:05

Grüße
Aries


Meine Nachbarn hören gute Musik, ob sie wollen oder nicht!

Alter Leipziger

Antworten
  • Forum-Beiträge: 885

04.07.2018, 15:51:57 via Website

ColaDeveloper

Oh Gott... Als hätte ich was zu verbergen... :D

Eben. Soll doch jeder ruhig wissen, dass du aus der Nürnberger Ecke kommst und dort ein Girokonto bei der Sparkasse hast ;);) . Mehr schreibe ich besser nicht :)

— geändert am 04.07.2018, 16:41:27

Antworten
C. F.
  • Blogger
  • Forum-Beiträge: 537

04.07.2018, 16:36:38 via Website

Brian

ColaDeveloper

Oh Gott... Als hätte ich was zu verbergen... :D

Eben. Soll doch jeder ruhig wissen, dass du aus der Nürnberger Ecke kommst und dort ein Girokonto bei der Sparkasse hast ;);) . Mehr schreibe besser nicht :)

Warum nicht? Er hat doch nichts zu verbergen?

Antworten
  • Forum-Beiträge: 885

04.07.2018, 16:53:29 via Website

So meinte ich das auch ;).

Zurück zum Thema:
Inzwischen beruhigen sich auch diverse Medien wieder:
http://m.spiegel.de/netzwelt/apps/gmail-nein-fremde-entwickler-koennen-nicht-einfach-so-ihre-e-mails-lesen-a-1216543.html

netzpolitik.org hatte ursprünglich einen alarmierendem Artikel veröffentlicht, den sie nach etwas Nachdenken dann doch wieder gelöscht haben (findet man nur im Webarchiv...)

Antworten

Empfohlene Artikel