De handige mail-app Spark lijkt meer van jouw e-mails te zien dan op het eerste gezicht lijkt. De Nederlandse cybersecurity consultant Vincent van Mieghem merkt op dat mailberichten die je leest via de Spark-app als platte tekst door de servers van Readdle gestuurd worden. Dat betekent dat de berichten zonder encryptie via de servers van Readdle te lezen zouden zijn. Readdle heeft inmiddels zelf gereageerd.
‘Mails als platte tekst door servers Spark’
Van Mieghem stelt de werking van Spark ter discussie na het uitpluizen van het privacybeleid van Spark. Hierin is te lezen dat ‘de servers van Spark de e-mail headers en delen van de mailtekst downloadt van je e-mail service provider en dit gebruikt voor het opstellen van push-berichten’. Hoewel Van Mieghem beweert dat al je e-mails in platte tekst langs de servers gaan, lijkt dit volgens het privacybeleid van Spark niet helemaal het geval te zijn. Bovendien stelt het privacybeleid dat de ‘e-mailheaders en -tekst verwijderd worden zodra het pushbericht verzonden is’.
NOTE: If you make use of @SparkMailApp, all your e-mails will pass thru Readdle servers in plain text (!!). https://t.co/DKmAKNQrMp
— Vincent Van Mieghem (@_vivami) March 15, 2017
Denys Zhadanov, vice-president Marketing van ontwikkelaar Readdle, heeft gereageerd op de tweet van Van Mieghem. Hij ontkent de aantijgingen niet, maar zegt dat de verzamelde informatie op geen enkele manier gebruikt wordt en dat werknemers geen toegang hebben tot de verzamelde data. Hij geeft daarbij geen belofte dat de data versleuteld is. Als Readdle ooit gehackt wordt kunnen kwaadwillenden de mailberichten uitlezen.
Daarnaast vult hij aan dat er ook een betaalde Spark-versie aan zit te komen die gebruikt kan worden door teams. Hoe die betaalde versie om gaat met informatie uit jouw e-mails, is echter onduidelijk.
we don't use any of that information, even employees don't have access. Spark 2.0 for teams is going to be paid
— Denys Zhadanov 🇺🇦 (@DenZhadanov) March 15, 2017
Inloggegevens wel versleuteld
Het is daarom goed om in de gaten te houden hoe Spark met jouw gegevens om gaat. Naast het opslaan van gedeeltes van jouw mail, worden je inloggegevens ook bewaard. Deze worden echter via asymmetrische encryptie opgeslagen op de beveiligde cloudservers, aldus Spark. Toch is het een goed moment om weer eens een kritische blik te werpen op het privacybeleid van dergelijke apps en diensten.
De situatie zou voor veel meer externe e-mailapps kunnen gelden: ontwikkelaars van mailapps die push-notificaties willen versturen lopen tegen hetzelfde probleem aan. Een uitzondering is Apple’s eigen Mail-app, omdat zij meer bevoegdheden hebben in iOS.
Readdle was al eerder negatief in het nieuws, toen Spark voor een vergrendelde Apple ID zorgde bij veel gebruikers.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Bellen via de browser: 'Webversie WhatsApp krijgt optie voor (video)bellen' (29-04)
- WhatsApp gaat spraakberichten vernieuwen: dit verandert er (28-04)
- WhatsApp vanaf nu met extra beveiligde chats: zo krijg je meer privacy (23-04)
- Betalen om je account te delen? Ook bij HBO Max zul je eraan moeten geloven (en zoveel betaal je in de VS) (23-04)
- Instagram brengt Edits-app uit: nieuwe videobewerker voor content creators (en dit kun je ermee) (23-04)
Of gebruik Little Snitch op de juiste manier…
Voor iemand die geïnteresseerd is, gebruik Protonmail.
@Peter Harte: Welke rules configuratie gebruik je dan om dit te voorkomen?
@Peter Harte: Wat heeft Little Snitch, een Firewall te maken met het plat opslaan van emails op iemand anders zijn servers?
@Me: De data moet uitgaand via je mailserver naar de ontvanger….
Blok alle uitgaande verbindingen m.u.v. je eigen mailhost (imap&smtp). Kijk dan even wat er in LS voorbijkomt aan onduidelijke uitgaande verbindingen.
destination: trends.google.nl
destination: api.amplitude.com
destination: s-usc1c-nss-131.firebaseio.com
destination: app.smartmailcloud.com
destination: gate.hockeyapp.net
Maar ik kan me zo maar vergissen.
@Peter Harte Bedankt voor je reactie, als je hiermee voorkomt dat push notificatie verstuurd worden, werk het wellicht. Maar goed, zo’n bedrijf heeft het bij mij sowieso al afgedaan.
Naast Spark, ben zelf poos geleden bezig geweest op zoek naar alternatieven, maar veel mail clients zijn niet erg vriendelijk op privacy vlak.
Vind de tip van René over Protonmail wel interessant, alleen zolang ze geen imap ondersteunen toch wel met de nodige beperkingen.
@Me Protonmail is volop in ontwikkeling. Een account is gratis dus uitproberen maar!