De handige mail-app Spark lijkt meer van jouw e-mails te zien dan op het eerste gezicht lijkt. De Nederlandse cybersecurity consultant Vincent van Mieghem merkt op dat mailberichten die je leest via de Spark-app als platte tekst door de servers van Readdle gestuurd worden. Dat betekent dat de berichten zonder encryptie via de servers van Readdle te lezen zouden zijn. Readdle heeft inmiddels zelf gereageerd.
‘Mails als platte tekst door servers Spark’
Van Mieghem stelt de werking van Spark ter discussie na het uitpluizen van het privacybeleid van Spark. Hierin is te lezen dat ‘de servers van Spark de e-mail headers en delen van de mailtekst downloadt van je e-mail service provider en dit gebruikt voor het opstellen van push-berichten’. Hoewel Van Mieghem beweert dat al je e-mails in platte tekst langs de servers gaan, lijkt dit volgens het privacybeleid van Spark niet helemaal het geval te zijn. Bovendien stelt het privacybeleid dat de ‘e-mailheaders en -tekst verwijderd worden zodra het pushbericht verzonden is’.
Denys Zhadanov, vice-president Marketing van ontwikkelaar Readdle, heeft gereageerd op de tweet van Van Mieghem. Hij ontkent de aantijgingen niet, maar zegt dat de verzamelde informatie op geen enkele manier gebruikt wordt en dat werknemers geen toegang hebben tot de verzamelde data. Hij geeft daarbij geen belofte dat de data versleuteld is. Als Readdle ooit gehackt wordt kunnen kwaadwillenden de mailberichten uitlezen.
Daarnaast vult hij aan dat er ook een betaalde Spark-versie aan zit te komen die gebruikt kan worden door teams. Hoe die betaalde versie om gaat met informatie uit jouw e-mails, is echter onduidelijk.
Inloggegevens wel versleuteld
Het is daarom goed om in de gaten te houden hoe Spark met jouw gegevens om gaat. Naast het opslaan van gedeeltes van jouw mail, worden je inloggegevens ook bewaard. Deze worden echter via asymmetrische encryptie opgeslagen op de beveiligde cloudservers, aldus Spark. Toch is het een goed moment om weer eens een kritische blik te werpen op het privacybeleid van dergelijke apps en diensten.
De situatie zou voor veel meer externe e-mailapps kunnen gelden: ontwikkelaars van mailapps die push-notificaties willen versturen lopen tegen hetzelfde probleem aan. Een uitzondering is Apple’s eigen Mail-app, omdat zij meer bevoegdheden hebben in iOS.
Readdle was al eerder negatief in het nieuws, toen Spark voor een vergrendelde Apple ID zorgde bij veel gebruikers.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- WhatsApp verbetert oproepen op drie manieren: dit is nieuw (10-04)
- Eindelijk: 'Meta werkt aan Instagram-app voor iPad' (09-04)
- Apple brengt nieuwe Mac- en Vision Pro-app uit: dit kun je met de Immersive Video Utility (08-04)
- WhatsApp krijgt extra beveiligde chats: zo krijg je meer privacy (07-04)
- Image Playground-app verwijderd? Je kan hem nu weer opnieuw downloaden (en zo doe je dat) (07-04)
Of gebruik Little Snitch op de juiste manier…
Voor iemand die geïnteresseerd is, gebruik Protonmail.
@Peter Harte: Welke rules configuratie gebruik je dan om dit te voorkomen?
@Peter Harte: Wat heeft Little Snitch, een Firewall te maken met het plat opslaan van emails op iemand anders zijn servers?
@Me: De data moet uitgaand via je mailserver naar de ontvanger….
Blok alle uitgaande verbindingen m.u.v. je eigen mailhost (imap&smtp). Kijk dan even wat er in LS voorbijkomt aan onduidelijke uitgaande verbindingen.
destination: trends.google.nl
destination: api.amplitude.com
destination: s-usc1c-nss-131.firebaseio.com
destination: app.smartmailcloud.com
destination: gate.hockeyapp.net
Maar ik kan me zo maar vergissen.
@Peter Harte Bedankt voor je reactie, als je hiermee voorkomt dat push notificatie verstuurd worden, werk het wellicht. Maar goed, zo’n bedrijf heeft het bij mij sowieso al afgedaan.
Naast Spark, ben zelf poos geleden bezig geweest op zoek naar alternatieven, maar veel mail clients zijn niet erg vriendelijk op privacy vlak.
Vind de tip van René over Protonmail wel interessant, alleen zolang ze geen imap ondersteunen toch wel met de nodige beperkingen.
@Me Protonmail is volop in ontwikkeling. Een account is gratis dus uitproberen maar!