De handige mail-app Spark lijkt meer van jouw e-mails te zien dan op het eerste gezicht lijkt. De Nederlandse cybersecurity consultant Vincent van Mieghem merkt op dat mailberichten die je leest via de Spark-app als platte tekst door de servers van Readdle gestuurd worden. Dat betekent dat de berichten zonder encryptie via de servers van Readdle te lezen zouden zijn. Readdle heeft inmiddels zelf gereageerd.
‘Mails als platte tekst door servers Spark’
Van Mieghem stelt de werking van Spark ter discussie na het uitpluizen van het privacybeleid van Spark. Hierin is te lezen dat ‘de servers van Spark de e-mail headers en delen van de mailtekst downloadt van je e-mail service provider en dit gebruikt voor het opstellen van push-berichten’. Hoewel Van Mieghem beweert dat al je e-mails in platte tekst langs de servers gaan, lijkt dit volgens het privacybeleid van Spark niet helemaal het geval te zijn. Bovendien stelt het privacybeleid dat de ‘e-mailheaders en -tekst verwijderd worden zodra het pushbericht verzonden is’.
NOTE: If you make use of @SparkMailApp, all your e-mails will pass thru Readdle servers in plain text (!!). https://t.co/DKmAKNQrMp
— Vincent Van Mieghem (@_vivami) March 15, 2017
Denys Zhadanov, vice-president Marketing van ontwikkelaar Readdle, heeft gereageerd op de tweet van Van Mieghem. Hij ontkent de aantijgingen niet, maar zegt dat de verzamelde informatie op geen enkele manier gebruikt wordt en dat werknemers geen toegang hebben tot de verzamelde data. Hij geeft daarbij geen belofte dat de data versleuteld is. Als Readdle ooit gehackt wordt kunnen kwaadwillenden de mailberichten uitlezen.
Daarnaast vult hij aan dat er ook een betaalde Spark-versie aan zit te komen die gebruikt kan worden door teams. Hoe die betaalde versie om gaat met informatie uit jouw e-mails, is echter onduidelijk.
we don't use any of that information, even employees don't have access. Spark 2.0 for teams is going to be paid
— Denys Zhadanov 🇺🇦 (@DenZhadanov) March 15, 2017
Inloggegevens wel versleuteld
Het is daarom goed om in de gaten te houden hoe Spark met jouw gegevens om gaat. Naast het opslaan van gedeeltes van jouw mail, worden je inloggegevens ook bewaard. Deze worden echter via asymmetrische encryptie opgeslagen op de beveiligde cloudservers, aldus Spark. Toch is het een goed moment om weer eens een kritische blik te werpen op het privacybeleid van dergelijke apps en diensten.
De situatie zou voor veel meer externe e-mailapps kunnen gelden: ontwikkelaars van mailapps die push-notificaties willen versturen lopen tegen hetzelfde probleem aan. Een uitzondering is Apple’s eigen Mail-app, omdat zij meer bevoegdheden hebben in iOS.
Readdle was al eerder negatief in het nieuws, toen Spark voor een vergrendelde Apple ID zorgde bij veel gebruikers.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- ANWB Onderweg app krijgt een nuttige update: zo zie jij waar je het goedkoopste kan laden (08-05)
- Apple Music laat je virale muziek ontdekken (en heeft daar een slimme bron voor) (08-05)
- Safari krijgt AI-diensten als zoekmachine (in plaats van Google) (08-05)
- Google's Gemini-app nu ook voor iPad (08-05)
- Spotify maakt muziek beheren veel makkelijker: dit verandert er voor jou (07-05)
Of gebruik Little Snitch op de juiste manier…
Voor iemand die geïnteresseerd is, gebruik Protonmail.
@Peter Harte: Welke rules configuratie gebruik je dan om dit te voorkomen?
@Peter Harte: Wat heeft Little Snitch, een Firewall te maken met het plat opslaan van emails op iemand anders zijn servers?
@Me: De data moet uitgaand via je mailserver naar de ontvanger….
Blok alle uitgaande verbindingen m.u.v. je eigen mailhost (imap&smtp). Kijk dan even wat er in LS voorbijkomt aan onduidelijke uitgaande verbindingen.
destination: trends.google.nl
destination: api.amplitude.com
destination: s-usc1c-nss-131.firebaseio.com
destination: app.smartmailcloud.com
destination: gate.hockeyapp.net
Maar ik kan me zo maar vergissen.
@Peter Harte Bedankt voor je reactie, als je hiermee voorkomt dat push notificatie verstuurd worden, werk het wellicht. Maar goed, zo’n bedrijf heeft het bij mij sowieso al afgedaan.
Naast Spark, ben zelf poos geleden bezig geweest op zoek naar alternatieven, maar veel mail clients zijn niet erg vriendelijk op privacy vlak.
Vind de tip van René over Protonmail wel interessant, alleen zolang ze geen imap ondersteunen toch wel met de nodige beperkingen.
@Me Protonmail is volop in ontwikkeling. Een account is gratis dus uitproberen maar!