A Lavabit-nek azért kellett bezárnia, mert nem adta át az SSL privát kulcsokat. Ha ugyanerre megkérik a Protonmailt és ő átadja, akkor az azt jelenti, hogy módosítható az adatfolyamban átadott JavaScript fájlok úgy, hogy kiadja a gépeden tárolt titkosítási kulcsokat.
Az Android app elvileg ez ellen véd, persze csak akkor ha saját magad forgatod a forrást és előtte auditálod. Persze ez csak akkor lenne lehetséges, ha nyílt lenne a forrása...
Ha valóban olyan levelet akarsz küldeni, aminek a tartalma bizalmas, akkor használj OpenPGP-t