EDICIóN GENERAL
277 meneos
4913 clics
Aplicaciones de E-Mail para Android envían el usuario y la contraseña al operador [Ale]

Aplicaciones de E-Mail para Android envían el usuario y la contraseña al operador [Ale]

Una lista de aplicaciones para gestionar el E-Mail en Android que envía el usuario y contraseña al operador: Blue Mail, TypeApp, Mail.Ru, myMail...

| etiquetas: android , tecnología , seguridad , e-mail
El autor del blog es experto en seguridad y ha encontrado esas aplicaciones en un par de días. Dice que seguirá añadiendo a la lista si encuentra más.

Al final recomiendo K-9 Mail.
#1 Yo uso ProtonMail, creo que es segura... Creo.
#13 se conecta a algún lugar de Suiza. si fueran más generosos, le habría dado la patada a los yankees
#13 El autor del blog también tiene un par de entradas sobre ProtonMail y similares. Dice que es mejor que los GMail y Co., pero que al final es una falsa sensación de seguridad porque el cifrado es en el servidor de ellos, y claro el mail viaja de tu ordenador a los servidores sin cifrar y después ya no sabes lo que ocurre.

Para mails con tu madre vale, pero si es algo que realmente no quieres que se sepa...

Él recomienda mailbox.org (de pago) y cifrar en tu ordenador.
#40 Perdona pero los emails enviados por protonmail a otros servidores si estan encryptados, por lo menos el envio. Siempre y cuando lo soporten como el https.

imgur.com/a/UVuvb

De echo el tio del blog habla de ello:
translate.google.co.uk/translate?sl=auto&tl=en&js=y&prev=_
#46 Vale, no estaba pensando en los rusos. Alemán es el segundo idioma más hablado de Europa. :-)

#49 Puede ser. No soy el experto. Tendría que buscar exactamente la crítica para no meter la pata.
#13 lee #49 y #50
#53 Para resumirlo, funciona exactamente como cualquier pagina web. Hay tutoriales por diestro y siniestro en la web, pero el del blog que he puesto en #49 es muy bueno. Me ha gustado su web, me la guardo :-)
#53 ademas es que de lejos, por que tienes que añadir 14 millones de ucranianos, un 72% de los bielorusos (el bieloruso es idioma minoritario en su propio pais)
#49 Creo que no es correcto lo que dices que "los emails enviados por protonmail a otros servidores si estan encryptados, por lo menos el envio. Siempre y cuando lo soporten como el https". La razón es que el servidor que recibe el mail tiene que soportar el cifrado para los correos entrantes, y eso (a día de hoy) es cierto para los proveedores grandes (gmail, outlook, etc.) pero (sorprendentemente) no es el caso para según que empresas (independientemente de su tamaño).

Cuando monté…   » ver todo el comentario
#57 O servidores configurados por TLS con cifras obsoletas.
Al final hay que pensar que viajan más postales que correos.
#57 Lo he dicho: Siempre y cuando lo soporten como el https. Los servidores mail usan ssl y tls y tienen cientos de combinaciones. Ssl3 sigue siendo mejor que texto plano.

wiki.mozilla.org/Security/Server_Side_TLS
#88 No había leído el "como". Mis disculpas... <:(
#40 Honestamente, la mejor solución (creo yo, ojo) es tener un ordenadorcito permanentemente connectado (cuenta ~80€/año de electricidad y coste del dominio) con un postfix, un dovecot, etc., y un nextcloud con rainloop.

Hace 6 años que lo tengo funcionando permanentemente (lo paro 2 veces al año, 1 hora, para actualizar el kernel y eso) y ni recibo spam, ni tengo que dar mis datos a nadie, el encriptado lo tengo como quiero, etc.. Havia compañeros, uno que curra en vodafone en concreto que me decían que "uy, que sin reverse DNS todos los proveedores grandes te van a mandar los mails a las carpetas de spam, etc." nada: si pones el DKIM, el SPF y el DMARC... cero problemas.
#1 #50 si, pero algunas puntualizaciones:
- planteate qué pasaría si todos nos concienciáramos como tú, y decidiéramos poner nuestros ordenadores encendidos permanentemente. Lo digo por el gasto energético y tal de que cada buzón de email requiera un ordenador.
- Cuando durante la campaña de Trump se filtraron emails de Hillary Clinton, se supo que ese hackeo que sufrió nunca hubiera sido posible si no hubiera decidido hacer lo mismo que tú: y es que al margen del uso de datos que pueda hacer…   » ver todo el comentario
#60 Por puntos :-):

- De hecho, no pasaría nada: el procesador que estoy usando AMD E-350, es de dos cores y lo tengo fijo a 800 MHz, el mínimo que soporta. El consumo de toda la maquina son 12 watios (medido), y la mayor parte del tiempo no hace nada (el promedio de carga de los ultimos 15 minutos está permanentemente alrededor de 0.05). Me estoy planteando cambiar ahora el servidor, despues de 4 años de tirar como un campeon, por un 4-cores que (segun specs) debería consumir 9 watios, y…   » ver todo el comentario
#60 No he llegado a tiempo de editarlo: Es que, de hecho, con una raspberry pi, que consume nada y menos, ya tienes capacidad suficiente para gestionar un servidor de correo para una familia.
#81 Para bastante más que una familia :-)
#81 Una raspberry puede con mucho para ser poca cosa. En una de las mías (el modelo anterior al 3) tengo montado servidor de aplicaciones java junto con la base de datos y va bastante bien.
#50 Ni aunque me pagasen esos 80€ al año tendría el mail en mi casa.
#50 ¿Y cómo consigues que tus emails no acaben en spam? Muchos sistemas antispam tienen los rangos de ips de los operadores como "no aceptados", sobre todo para evitar el spam de ordendores zombies. ¿O es que usas una vpn? Bueno, creo que con vpn el problema es similar. Yo tengo una raspberry pi siempre conectada y creo que la podría usar, pero me echa hacia atrás ese posible problema.
#40 Protonmail no envía los datos de tu buzón sin encriptado. Protonmail envía todo cifrado y es el cliente "tu navegador" el que desencripta y si necesita hacer algún update de la base de datos del correo, lo hace y vuelve a envíar los cambios encriptados. Es su gracia, vamos. Que ellos, protonmail, no tienen manera de saber qué hay en sus servidores porque ellos solo ven datos encriptados y no tienen la contraseña para desencriptar, a diferencia de otros servicios como gmail y…   » ver todo el comentario
#1, yo uso la de por defecto en el móvil de Gmail, pero la que tú dices es la que uso en la tablet para el correo no Gmail y precisamente me he metido en la noticia para ver si estaba en la lista. Afortunadamente no.
#1 Yo uso papel y boli (de Xiaomi, por supuesto) algo lento pero así seguro que ningún aparato envía el contenido electronicamente.
#1 Totalmente de acuerdo. 8-D

Es de las mas engorrosas de configurar, pero va muy bien. ;)
#1 Yo uso K9 desde mi primer Android, creo que es el mejor, sobre todo por ser de código abierto. Esa característica compensa las demás que le puedan faltar.
Es difícil de creer, pero después de más muestras en Google Play Store llegué a la conclusión: Blue Mail, TypeApp y Mail.Ru obviamente no son casos aislados. También otras aplicaciones envían su dirección de correo electrónico, incluida la contraseña, al operador. La pregunta es, ¿Google quiere "limpiar" una mafia mojada en Play Store? ¿O debería Google pensar en un cambio de nombre en "Google Spy Store"? En lugar de crear una publicación nueva cada vez, la actualizaré en un…   » ver todo el comentario
#2 Sí que es difícil de creer. ¿Para qué? ¿Y nadie se había dado cuenta antes?
#3 no tiene ninguna lógica. Y tampoco entiendo como se le envía, es decir, tú operador te da acceso y tú recibes o envía mails de una cuenta a otra de email, y esos datos va de tu servidor a otro servidor... no se, no entiendo cómo envía esos datos al operador, con copia oculta a info@tuoperador.com :-S
Si valoro en algo mi intimidad no me hago una cuenta en un sitio que se llama mail.ru ni loco.
#4 claro, mucho mejor en gmail.com o facebook.com o whatsapp.com
#7 #6 ¿He dicho que esos sitios respeten mi intimidad?
#8 ¿entonces qué has querido decir?
#9 Que los rusos son peores.
#43 entonces te he entendido bien. Es algo que dice mucha gente y no termino de entenderlo.

¿Por qué son peores?
#45 por que es peor que el espionaje industrial lo hagan los rusos que lo hagan los yankis, es que hay que explicartelo todo :troll:
#47 mejor que nos espíen nuestros hijos de puta que los otros.
#48 Ojeda dixit, al menos cita al autor.
#99 no sabía quién era el autor.
#73 acabo de contestar en #76.

Creo que #47 lo ha explicado perfectamente. :-)
#61 Claro, todos sabemos que la NSA y demas agencias de seguridad occidentales no espian a ciudadanos ni empresas occidentales, ni jamas mandan spam desde los EEUU.
www.statista.com/statistics/263086/countries-of-origin-of-spam/
www.spamhaus.org/statistics/countries/
:troll:
#71 No he dicho nada de la NSA. Has preguntado por los rusos y eso es lo que hay.
#76 No, en realidad no.... tienen más fama los rusos. Es un hecho. Otro hecho es que las autoridades rusas colaboran más bien poquito en temas de delitos ciberneticos cometidos fuera de sus fronteras, lo que da un puntito extra para operar desde allí.

Aparte de eso, más importante que desde donde se manda el spam, es quien controla las redes que lo envían. Por ejemplo, hace unos añitos detuvieron a este pavo, ruso por cierto, que controlaba una botnet que movía más del 30% del spam mundial.…   » ver todo el comentario
#84 por supuesto que tienen más mala fama los rusos. Nos están inundando a propaganda todos los días. ¿Qué fama van a tener? Tendrían mala fama aunque fueran unos santos.

Vale, Rusia tiene más spam y EE UU tiene más espionaje y sus empresas hacen muchísimo más dinero traficando con datos personales. ¿Por qué es peor Rusia? ¿Porque lo dice el telediario?

Yo no he preguntado por qué la gente dice que son peores. Si te molestas en mirar el contexto de lo que decía, era una conversación en la que uno o dos usuarios decían que los rusos son peores y les he pedido que lo argumentaran. No lo han hecho. Solo han repetido lo que leen y oyen, que es lo habitual en mucha gente en esta sociedad.
#85 no, lo del spam no es cierto a dia de hoy:
www.spamhaus.org/statistics/countries/
#87 no me había molestado en mirar los datos, pero ahora que me los proporcionas me parece aún más absurdo decir que los rusos son peores que los estadounidenses.
#85 He entendido el contexto de tu conversación, pero te he contestado a tu: Es algo que dice mucha gente y no termino de entenderlo. . Lo dicen porque tienen la fama, como tu mismo reconoces. Es así de simple. No se trata de lo merecida que sea, sino de quien la tiene. Por ejemplo, mi gato canta mejor que Justin Bieber, pero adivina cual de los dos gana millones y puede permitirse escupir a sus fans...

Lo que tu preguntas es una dicursión imposible porque no tienes forma de cuantificar…   » ver todo el comentario
#45 yo no soy el de arriba.
#68 de acuerdo, pero sigo sin leer ningún argumento.
#70 te han puesto un par de enlaces arriba.
#6 Todo lo que acabe en .ru está relacionado con el crimen de un modo u otro. Bievenido a Internet :hug:

CC #7
#4 mejor te la haces en Google, que sí respeta muchísimo tu intimidad, ¿no?
#4 puede pero yo tengo blue mail y la voy a quitar ya aunque no sé de qué me servirá. Tenía buenas reviews pero eso tampoco te asegura nada.
Qué mala noticia.
El experto se llama Kuketz y hasta donde sé es muy apreciado en la comunidad. Lleva un par de días investigando sobre el asunto y ha dado algún detalle más.
www.kuketz-blog.de/blue-mail-android-mail-app-versendet-login-passwort

Y en esta publicación alemana muy conocida se hacen eco de lo que dice Kuketz: www.golem.de/news/e-mail-clients-fuer-android-kennwoerter-werden-im-kl

Solo por dejar claro que el blog es una fuente seria.
Ya por curiosidad, ¿Qué aportan dichas aplicaciones que no tenga el cliente de email incluido por defecto en el móvil? Yo siempre he usado el cliente que venia en el móvil (HTC, LG, Sony...), la verdad para leer el correo suelen ir bien.
#11 En Maymail, que es la que he usado, te ahorras todo el follón de la instalación, que pare los que no tenemos mucha idea es una ventaja, solo metes la dirección de correo y la contraseña y listo.
Tener autenticación de doble factor, como las apps para el código de logueo o por SMS, ¿No ayudan en estos casos?
#12 por lo menos te aseguras que no acceden sin que tú te enteres.
#20 querrás decir que intenta acceder... digo porque no va a poder ya que el SMS o el código de logueo solo el dueño del aparato lo ve
Desconozco si en este caso puede hacer algo más solamente con la contraseña
Ya sabemos que la mitad de los españoles estáis en Alemania (los que no estáis en Inglaterra), pero ¿no creéis que es un poco excesivo llevar a portada noticias en alemán?
#14 Yo creo que muchos de los que votaron la noticia no entienden alemán, pero la votan por la entradilla.

P.S. por mi no hay problema con el alemán, pero si es cierto que es algo raro, aunque bueno en inglés se publican muchas, así que...
#25 Por si necesitábamos otra prueba de que la gente vota sin leer. Sin leer y sin entender, porque lo de que envía la contraseña al proveedor tampoco hay por donde cogerlo. Si se refiere al servidor de correo, es de cajón, pues se tiene que autenticar. Si se refiere al proveedor de Internet tiene aún menos sentido. Si se refiere al autor de la aplicación, que será lo más probable, es una traducción cuando menos curiosa.

En definitiva, un sinsentido que simplemente deja aún más patente si cabe el sinsentido que ha llegado a ser Menéame.
#14 #41 Pues espera que estoy aprendiendo coreano. xD

Por cierto, el alemán es el idioma más hablado en Europa y su producción editorial es más fuerte que la de España y Latinoamérica juntas. Si lo piensas tampoco es tan raro el alemán.

Y sí, soy mal traductor. @admin, ¿me cambias operador por autor de la aplicación? Danke.
#44 Rusia discrepa, al menos que quieras apoderarte del termino Europa para la Union Europea:
Aproximadamente el 77 % de toda la población rusa vive en la Rusia europea (alrededor de 110 millones de personas, de un total de 143 millones),
#44 Alemán y Francés, los idiomas de europa claramente. Una pena que en espanha no se quieran dar cuenta...
#52 ¿Francés idioma de Europa?
#82 desde los años 50, si.
Es el idioma oficial de la CE, junto l alemá e inglés, y este último a ver si lo largamos con uk :troll:
Joer, yo utilizo Blue Mail para una cuenta de email de mi dominio. En serio, no puedo tener mil ojos en todo, cada vez me está costando más confiar en Internet, cagon la leche.
#15 Aqui uno en el mismo caso que tu. Uso Blue-Mail para la cuenta de correo de mi dominio. Esta noche cambio de contraseña y me mudo al k9-mail ese por si acaso. :-S

A ver si alguien se hace eco de esto aunque sea en ingles por ahi en algun lado...
#21 El caso es que antes utilizaba K9-mail, pero cambié de cliente porque su interfaz se estaba quedando obsoleta y fea, pero visto lo visto habrá que volver.
#24 #21 Exactamente en la misma situación...

En su la página del Google Play en Alemán lo desmienten (play.google.com/store/apps/details?id=me.bluemail.mail&hl=de)

Secured app: we do not send passwords to our servers, or to any 3rd parties. Emails are not stored on our servers.

We use SSL and OAuth where applicable (for Gmail, Yahoo, Outlook etc), so the email app does not have access to password. Client connects directly to mail server using IMAP/POP/SMTP/Exchange


Pero el autor de este meneo ha sacado una réplica diciendo que después de la actualización siguen haciéndolo:
www.kuketz-blog.de/blue-mail-auch-nach-update-wird-login-passwort-vers

Así que nada, al canino por si las moscas...
#21 Lo mismo. Yo uso TypeApp, que es muy buena, funciona perfectamente, tiene muchas caracteristicas, va fluida, etc... Hoy cambio de app y contraseñas. Ademas les dejare un comentario en la Play Store sobre este asunto y que me pierden como usuario
Catxis, acabo de instalar BlueMail hace dos días!
Por suerte era para el trabajo, las cuentas personales siguen en K-9.
Alguien tiene una lista parecida para iPhone?
Quitando TypeMail en tres... dos... uno...
#19 cambiando contrasenha en tres...dos...one...
que malpensados sois todos, es para poder recordartela si se te olvida :troll:
No entiendo muy bien lo de "enviar al operador", ¿cómo se envía info a un operador?
#23 Envia la contraseña de tu cuenta de correo al fabricante de la aplicación TypeApp o Bluemail. Lo de operador debe estar mal traducido.
#30, es una buena explicación porque yo tampoco le encontraba sentido.
Para consultar tu correo te tienes que autentificar, y eso implica enviar tus credenciales al proveedor, operador o como quieras llamarle.
Ahora, si además lo envía al fabricante de la aplicación, ya es un tema distinto, y eso sí es un problema.
#37 ¿No es ilegal?
#64 No puedes autentificarte contra un servidor sin enviar tus credenciales (que deberían viajar cifradas), ya sea al mismo servidor o a otro de confianza que realice la verificación de credenciales. Si eso es ilegal, tenemos un problema.
#116 Pues claro que lo he leído.
Quizás no me he expresado bien, o quizás tu pregunta "¿no es ilegal?" era ambigua:
En el hilo se ha hablado de a qué se refiere el artículo con "operador", ya que no tiene mucho sentido, y ahí es donde #30 ha aclarado las cosas, al menos para mí.
Por otro lado, en #37, y como respuesta a #30, distingo entre enviar tus credenciales a un proveedor de un servicio que tengas contratado, y al fabricante de la aplicación. Y por eso digo que tu…   » ver todo el comentario
Joder, es de cajon.
Esas aplicaciones hacen de proxy . No son clientes SMTP
#27 Son clientes IMAP y SMTP . No hacen de proxy como hace Outlook para Android.
Lo sé porque en mi servidor en la autentificación se registra la IP del movil usando TypeApp, no la IP del dominio del fabricante.
#32

MyMail es un proxy. Y es un servidor ruso. Las otras no se
La app Outlook de microsoft también envia la contraseña de correo de tu dominio a Microsoft
Lo de TypeApp y BlueMail es un palo. Eran aplicaciones de correo muy buenas. Pero ya no se puede confiar en ellas.
Volveré al rudo pero seguro K-Nine (k9)
“Cuando algo es gratis, el producto eres tú”. No voy a entrar en la chorrada Android vs. Apple que siempre sale con estas noticias (risas de unos hacia los otros y viceversa). Lo que está claro es que todos nos están chuleando a base de bien y las consecuencias que puede tener esto en un futuro cercano, miedo me da.
Y luego dirán que tener un iPhone es de idiotas, que tiras el dinero, bla, bla, bla... Distará mucho de ser perfecto, pero en este tipo de cosas son demasiado habituales en Android.
#39 Gracias al Iphone y al iCloud ese sufrimos "The Fappening". Efectivamente dista mucho de ser perfecto. De hecho dista mas que Android.
Pues yo llevo usando BlueMail desde hace al menos dos años y bien contento estaba hasta que he leído esto.
Ahora no sé si correr en círculos con los brazos en alto y volver a K-9, o esperar reacciones del desarrollador. Total, que más da dos años que un mes más.

Este link puede se útil: androidforums.com/threads/email-which-apps-keep-it-private.935578/
#42 Lo mismo me he perdido algo, pero no se qué reacción esperas del desarrollador... Recopilar los correos y contraseñas de sus usuarios no es algo accidental ni mucho menos bienintencionado. Si todavia fuesen las direcciones podría ser para venderlas, pero con contraseña es para usarlas. ¿Te vas a fiar cuando te diga que lo siente y que no volverá a ocurrir?

Lo mínimo es eliminar la app, cambiar la contraseña del correo y, si me apuras, hasta crearte uno nuevo.
#51 Sí, pero una cosa así se sabe tarde o temprano y le puede costar la cárcel. Es todo muy raro.
#59 Depende... Rusia y China por ejemplo son muy poco colaboradores con delitos informaticos cometidos fuera de sus fronteras, y eso por mencionar solo dos, que hay bastantes más. Spammers, scammers y demás morralla digital llevan años actuando con total impunidad y no solo no tiene pinta de que vaya a solucionarse, sino que va a más a medida que crece en dinero en juego con el incremento de usuarios en internet a los que estafar.
#51 Puede que no sean del todo ciertas la acusaciones y que sea algo sensacionalista.
Dada la gravedad de los hechos, me cuesta creer que sean reales, más tratándose de una aplicación que ha sido descargada por más de cinco millones de personas.
Por ahora voy a estar atento a ver cómo evoluciona el tema, esperando reacciones del desarrollador, si otros confirman esto, etc.
Si de verdad tienen mis contraseñas desde hace dos años, qué más dará unos días más. Por supuesto, cambiaré las contraseñas cuando toque.
#93 Casualmente Blumail acaba de actualizarse y hacen una curiosa aclaración:

BlueMail 1.9.4.1 incorporates multiple security and privacy layers:

1. BlueMail app uses SSL, STARTTLS and OAuth enforcing certificate check by default.
2. BlueMail app sends and receives emails directly to and from the user’s email server.
3. Passwords are never transferred to the BlueMail’s servers.
4. Emails are never stored on BlueMail’s servers
…   » ver todo el comentario
Al final lo que tiene más sentido es usar un proveedor de correo que te suministre un cliente (Google y GMail, Apple con iCloud...). Total, si ya tiene alojado tu correo no necesita mandar tus contraseñas de acceso de tapadillo.

No sé, por otro lado, por qué algunos os fiáis más de proveedores como ProtonMail que de Google: al final Google es transparente, sólo quiere tus datos para colocarte publicidad. (Apple los quiere para venderte más chisme caros, que esa es otra)
Con suerte habrá una fuga masiva de usuarios a K9 y eso sirvirá para animar a más gente a colaborar con el proyecto creando una interfaz más moderna.
¿Envia la contraseña cómo?
¿El mail lo envia como?
¿Qué es que simplemente envian los correos sin cifrar?
¿Que entregan los datos a las instituciones tipo nsa o que permiten en claro que estos los accedan sin poner las medidas y la encriptacion adecuada?
¿A qué operadores?
Bluemail desinstalado, cambiadas contraseñas en mis cuentas, instalado k-9 y a esperar a que salga otra noticia sobre violación de la privacidad que afecta a los usuarios de tal aplicación en tal S.O. ....
#65 K-9 es de código abierto y una aplicación muy usada por gente a la que le preocupa de verdad la seguridad (al tener cifrado punto a punto por OpenPGP).

No es infalible, pues ningún software lo es, pero me fió mucho más de un proyecto así que de una aplicación creada por una empresa privada cuyo código desconocemos.
¿Al final el gnupg y similares qué?
Son espiables en los extremos antes de encriptarlos y con el robo de claves a través de cualquier vulnerabilidad del sistema que uses.
Pero obviando eso y creyendote que no te pueden espiar hasta el núcleo si quieren.
Es el software privativo amigo ;)
Yo uso gmail, total mi seguridad depende de lo que usen las personas a las que contacto, y si yo hago un fortín pero ellos usan gmail da exactamente igual lo que yo haga o deje de hacer.
Yo uso "Email-Fast & secure mail for gmail Outlook & more" de Edison Software
Ese me gusta porque puedo sincronizar la carpeta de borradores de mis correos ... de mis hosts.
Bluemail desinstalada y contraseña cambiada.
Vaya tela...
«12
comentarios cerrados

menéame