Edison Mail für iOS: Update bringt Zugriff auf fremde Konten mit sich

Ein Update für Edison Mail bringt geräteübergreifende Synchronisation, erlaubt jedoch den Zugriff auf fremde E-Mails. Der Hersteller hat es rasch zurückgezogen.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 29 Beiträge

(Bild: Pavel Ignatov/Shutterstock.com)

Von

Der Entwickler Edison Software Inc. hat ein Update seines E-Mail-Clients Edison Mail zurückgezogen, nachdem iOS-Nutzer den Zugriff auf E-Mails fremder Accounts meldeten. Der Entwickler erklärte, dass es sich bei dem Vorfall um einen Bug gehandelt habe und nicht um die Folge einer Sicherheitsverletzung. Das Update wurde kurz nach den ersten Meldungen der Nutzer zurückgezogen.

heise online daily Newsletter

Keine News verpassen! Mit unserem täglichen Newsletter erhalten Sie jeden Morgen alle Nachrichten von heise online der vergangenen 24 Stunden.

Berichten zufolge sollte das Update eine geräteübergreifende Synchronisation ermöglichen. Der E-Mail-Client Edison Mail ist für die mobilen Betriebssysteme Android und iOS und das Apple-Desktopbetriebssystem MacOS verfügbar. Anstatt jedoch den eigenen Account über mehrere Geräte hinweg automatisch zu synchronisieren, hatten Anwender Zugriff auf die Konten fremder Personen und mussten dafür nicht einmal die nötigen Benutzerdaten mit dem zugehörigen Passwort eingeben.

Über Twitter wandten sich betroffene Nutzer an den Software-Hersteller. Einem Anwender zufolge hatte ein fremdes iPhone vollen Zugriff auf seine E-Mails und seinen Account. Ein weiterer Twitter-Nutzer hatte nach dem Update und Aktivieren der Synchronisationsfunktion Zugriff auf einen E-Mail-Account, der nicht seiner sei. Ihm antwortete der Entwickler, dass man an einer Lösung arbeite. Das Update habe ein technisches Problem in Edison Mail verursacht, von dem jedoch nur ein kleiner Prozentsatz der Nutzer betroffen sei.

Von dem Fehler, der keine Sicherheitsverletzung sei, seien laut Edison Software anscheinend nur die Nutzer der iOS-Anwendung betroffen, berichtet The Verge. Demnach soll das Update 10 Stunden verfügbar gewesen sein, bevor es zurückgezogen wurde. Das Unternehmen werde sich mit den Benutzern in Verbindung setzen, die die App in den letzten 10 Stunden aktualisiert und geöffnet haben.

In der Apple-iOS-Mail-App haben Sicherheitsforscher kürzlich eine schwere Lücke entdeckt, die bereits ausgenutzt werde und bei der lediglich das Empfangen einer manipulierten E-Mail im Hintergrund ausreichen soll, um die Mailbox-Daten abzuziehen. Das BSI warnt vor der Nutzung des Apple-eigenen Mail-Clients, der über den ganzen Zeitraum immer noch nicht mit einem Sicherheitsupdate versehen wurde. Apple selbst sieht keine Gefahr in den insgesamt drei vorhandenen Lücken.

Apple-Nutzer, die aufgrund der Sicherheitswarnung den hauseigenen E-Mail-Client von Apple deaktiviert haben und auf Edison Mail zum Abrufen der elektronische Post umgestiegen sind, sollten gegebenenfalls die Passwörter der in Edison Mail benutzten E-Mail-Accounts ändern und auf mögliche Auffälligkeiten überprüfen oder sich mit dem Software-Hersteller in Verbindung setzen. Was genau zu dem fehlerhaften Zugriff auf fremde E-Mail-Accounts führte, erklärte Edison Software bislang nicht.

(bme)