Das E-Mail-Programm neuer Blackberrys überträgt ungefragt Nutzernamen und Passwörter an die Server des Unternehmens. So erhält es Zugriff auf alle E-Mail-Konten seiner Nutzer.

Frank Rieger, Sprecher des Chaos Computer Clubs, hat die heimliche Übertragung entdeckt. Rieger hatte sich ein Blackberry Q10 gekauft und in dessen E-Mail-App den Zugriff auf sein Postfach per IMAP eingerichtet.

Rieger betreibt seinen eigenen E-Mail-Server. Kurz nach der Einrichtung der Blackberry-App registrierte er erfolgreiche Verbindungsversuche von einem Blackberry-Server in Kanada auf seinen eigenen, mitsamt seinen Zugangsdaten.

Schlimmer noch: Die Verbindung ging auch noch über Großbritannien und die USA, sie passiert also auch die Abhörinfrastruktur britischer und amerikanischer Geheimdienste. Wenn der E-Mail-Provider beziehungsweise der eigene Mailserver nur mit SSL/TLS verschlüsselte Verbindungen zulässt, können die zwar nicht mitlesen. Aber zumindest Blackberry bekommt den Zugriff auf die Daten. 

Laut heise Security ist auch der Sicherheitsexperte Marc Heuse auf das Problem aufmerksam geworden. Nach dessen Angaben findet die Übertragung grundsätzlich verschlüsselt statt.

Es gebe aber einen Weg, die Übertragung ganz zu verhindern, heißt es bei heise Security: Man müsse das Mail-Konto über den Button "Erweitert" einrichten.

Dabei sei es technisch gar nicht nötig, die Daten von privaten E-Mail-Konten an Blackberrys Server zu übertragen, sagt Rieger, dessen eigene Firma GSMK abhörsichere Mobiltelefone verkauft. Einzig der Mailserver-Betreiber brauche diese Daten, um den Zugriff auf das Konto vom Smartphone aus zuzulassen. In diesem Fall hätten sie also ohne Umweg an seinen eigenen Mailserver geschickt werden müssen. Nur wer Blackberry-Dienste nutze, muss damit leben, dass seine Zugangsdaten an das Unternehmen gesendet werden.