Hier handelt es sich um eine App, in die man E-Mail-Konten von verschiedenen Anbietern (zum Beispiel Hotmail und GMX) einbinden kann. Die App soll die Mails vom Server des E-Mail-Anbieters abholen und auf Ihrem Gerät anzeigen. In unserem Testsystem ist diese legitime Kommunikation zwischen App und E-Mail-Anbieter nicht sichtbar, da sie über ein besonderes Protokoll stattfindet. Anders als bei anderen App-Tests gilt: Wenn die App nur das tut, was sie soll, sehen wir überhaupt keine Datenübertragung.
Bei dieser App schätzen wir das Risiko für Ihre Privatsphäre als sehr hoch ein. Warum wir von der Nutzung nur abraten können, lesen Sie hier:
Im Test haben wir zwei E-Mail-Accounts mit der App verknüpft - einen von GMX und einen von unserem eigenen Mail-Server. Dabei muss die Mail-Adresse und das zugehörige Passwort des Accounts in der App eingegeben werden. Damit soll sich die App beim jeweiligen Mail-Server authentifizieren und die Mails auf das Gerät laden. Im Test sendete die App die Login-Daten (E-Mail-Adresse und Passwort) jedoch an den Anbieter der App, Mail.Ru Group. Auch die Inhalte der Mails sowie Absender- und Empfängeradressen landeten dort. Für die Sicherheit und Vertraulichkeit Ihrer E-Mail-Kommunikation ist dies ein extrem großes Risiko.
Sofern die Berechtigung " Kontakte " im Test gewährt wurde, sendete die App auch die E-Mail-Adressen aus dem Adressbuch an den Anbieter.
In unserem Test erfasste der Anbieter der App, Mail.Ru Group, den eindeutigen Netzwerknamen des WLANs, mit dem das Testgerät verbunden war - die sogenannte BSSID. Das bewerten wir als besonders kritisch, da die BSSID genutzt werden kann, um den genauen Standort zu bestimmen. Viele Unternehmen betreiben große Datenbanken mit BSSID´s und den zugehörigen Standortkoordinaten. Mit solchen Datenbanken können Anbieter den Aufenthaltsort eines Handys allein anhand der BSSID des WLAN´s bestimmen, mit dem es verbunden ist. Diese Art der Standortbestimmung ist für Nutzer*innen nicht erkennbar, da das Gerät nicht nach der Standort-Berechtigung fragt. Für die Funktionalität der App ist die BSSID nicht notwendig.
Neben dem Anbieter nimmt die App zu sieben Drittanbietern Kontakt auf. Alle relevanten Informationen, die im Test übertragen wurden, sowie die Besitzer aller kontaktierten Internetadressen, sehen Sie in der Tabelle weiter unten.
Eigene E-Mail-Adresse, Verbindungsaufbau, Werbe-ID
TLS verschlüsselt
Verbindungsaufbau, Werbe-ID
TLS verschlüsselt
Verbindungsaufbau, Werbe-ID
TLS verschlüsselt
Seriennummer des Gerätes
TLS verschlüsselt
Verbindungsaufbau
TLS verschlüsselt
Eindeutige Router-Adresse, Netzwerk-Name, Verbindungsaufbau, Werbe-ID
TLS verschlüsselt
E-Mail-Absender, E-Mail-Betreffzeile, E-Mail-Empfänger, E-Mail-Text, Eigene E-Mail-Adresse, Eindeutige Router-Adresse, Mail-Adressen aus dem Adressbuch, Name aus dem Adressbuch, Netzwerk-Name, Verbindungsaufbau, , Vornamen (Nutzerangabe), Werbe-ID
TLS verschlüsselt
Verbindungsaufbau, Werbe-ID
TLS verschlüsselt
Anrufliste lesen
android.permission.READ_CALL_LOG
zustimmungspflichtig
Audio aufnehmen
android.permission.RECORD_AUDIO
zustimmungspflichtig
Audio-Einstellungen ändern
android.permission.MODIFY_AUDIO_SETTINGS
normal
Auf alle Netzwerke zugreifen
android.permission.INTERNET
normal
Auf genauen Standort zugreifen
android.permission.ACCESS_FINE_LOCATION
zustimmungspflichtig
Auf ungefähren Standort zugreifen
android.permission.ACCESS_COARSE_LOCATION
zustimmungspflichtig
Beim Start ausführen
android.permission.RECEIVE_BOOT_COMPLETED
normal
Bilder und Videos aufnehmen
android.permission.CAMERA
zustimmungspflichtig
Fingerabdruckhardware verwenden
android.permission.USE_FINGERPRINT
normal
Ganzer Bildschirm (ab Android 10)
android.permission.USE_FULL_SCREEN_INTENT
normal
Kontakte Ändern
android.permission.WRITE_CONTACTS
normal
Kontakte lesen
android.permission.READ_CONTACTS
zustimmungspflichtig
Konten auf dem Gerät suchen
android.permission.GET_ACCOUNTS
zustimmungspflichtig
Konten auf dem Gerät verwenden
android.permission.USE_CREDENTIALS
normal
Konten erstellen und Passwörter festlegen. Ungültig ab 6.0.
android.permission.AUTHENTICATE_ACCOUNTS
normal
Konten hinzufügen oder entfernen
android.permission.MANAGE_ACCOUNTS
normal
Kopplung mit Bluetooth-Geräten durchführen
android.permission.BLUETOOTH
normal
Netzwerkverbindungen abrufen
android.permission.ACCESS_NETWORK_STATE
normal
Nur für System-Apps und vorinstallierte Apps
android.permission.WRITE_SETTINGS
normal
Ruhezustand deaktivieren
android.permission.WAKE_LOCK
normal
SD-Karteninhalte Ändern oder löschen
android.permission.WRITE_EXTERNAL_STORAGE
normal
SD-Karteninhalte lesen
android.permission.READ_EXTERNAL_STORAGE
normal
Synchronisierung aktivieren oder deaktivieren
android.permission.WRITE_SYNC_SETTINGS
normal
Synchronisierungseinstellungen lesen
android.permission.READ_SYNC_SETTINGS
normal
Synchronisierungsstatistik lesen
android.permission.READ_SYNC_STATS
normal
Telefonnummern direkt anrufen
android.permission.CALL_PHONE
zustimmungspflichtig
Telefonstatus und Identität abrufen
android.permission.READ_PHONE_STATE
normal
Vibrationsalarm steuern
android.permission.VIBRATE
normal
Vordergrunddienst ausführen
android.permission.FOREGROUND_SERVICE
normal
Wecker stellen
android.permission.SET_ALARM
normal
WLAN-Verbindungen abrufen
android.permission.ACCESS_WIFI_STATE
normal
