IBM Developer entdeckt, dass die Outlook-App für iOS nicht über die richtige Sicherheit verfügt

Die iOS Outlook-App ermöglicht es Microsoft, alle E-Mail-Konten und Serveranmeldeinformationen ohne das Wissen der Benutzer zu sehen.

Am selben Tag, an dem Microsoft seine neue Outlook-App für iOS veröffentlichte, warnte René Winkelmeyer, ein Entwickler bei IBM, dass sie die Unternehmenssicherheit auf mehrere Arten gefährdet.

Der Entwicklungsleiter bei midpoints GmbH und IBM Champion, René Winkelmeyer, hat einige Sicherheitsprobleme entdeckt, die Microsoft dazu bringen, Ihre E-Mail-Kontoinformationen und Serverdaten in der Cloud zu erhalten und zu speichern (ohne Sie zu benachrichtigen), wenn Sie die neue iOS Outlook-App verwenden.

Er entdeckte diese Details, während er analysierte, wie der Mechanismus der iOS Outlook-App mit Push-Benachrichtigungen umgeht und stellte fest, dass Microsoft potenziellen Zugriff auf die Daten zur persönlichen Informationsverwaltung hat. Er erläutert dies hier im Detail.

Ein weiteres Sicherheitsproblem der iOS Outlook-App besteht darin, dass, obwohl die App vom Benutzer auf mehreren Geräten installiert ist, sie auf allen Geräten dieselbe ID hat, was es Administratoren erschwert, das Gerät eines Benutzers von einem anderen zu unterscheiden. Auch die integrierten Connectoren der iOS Outlook-App zu OneDrive, Dropbox und Google Drive sind ein Albtraum für die Datensicherheit.

René Winkelmeyer bemerkte zu den integrierten Connectoren in der iOS Outlook-App:

„Das bedeutet, dass ein Benutzer sein persönliches Konto innerhalb der App einrichten und alle E-Mail-Anhänge über diese Dienste teilen kann. Oder Dateien aus diesen Diensten innerhalb seines Unternehmens-E-Mail-Kontos verwenden kann.“

Diese Sicherheitsprobleme sind in die neue iOS Outlook-App eingeflossen, nachdem Microsoft vor weniger als zwei Monaten die mobile E-Mail-App-Firma Accompli gekauft hat, und sie haben ihre Datenschutzrichtlinie aktualisiert (aktualisiert am 28. Januar 2015), die besagt:

„Wir bieten einen Dienst an, der Ihre E-Mails indiziert und die Zustellung an Ihr Gerät beschleunigt. Das bedeutet, dass unser Dienst Ihre eingehenden und ausgehenden E-Mail-Nachrichten abruft und sicher an die App auf Ihrem Gerät überträgt. Ebenso ruft der Dienst die Kalenderdaten und die Adressbuchkontakte ab, die mit Ihrem E-Mail-Konto verbunden sind, und überträgt diese sicher an die App auf Ihrem Gerät. Diese Nachrichten, Kalendereinträge und Kontakte sowie die zugehörigen Metadaten können vorübergehend sicher sowohl auf unseren Servern als auch lokal in der App auf Ihrem Gerät gespeichert und indiziert werden. Wenn Ihre E-Mails Anhänge haben und Sie anfordern, diese in unserer App zu öffnen, ruft der Dienst sie vom Mailserver ab, speichert sie vorübergehend sicher auf unseren Servern und liefert sie an die App.“ „Wenn Sie sich entscheiden, den Dienst zu nutzen, müssen Sie ein Konto erstellen. Dazu müssen Sie die E-Mail-Adresse(n) angeben, auf die Sie mit unserem Dienst zugreifen möchten. Einige E-Mail-Konten (z. B. solche, die Microsoft Exchange verwenden) erfordern auch, dass Sie Ihre E-Mail-Anmeldeinformationen angeben, einschließlich Ihres Benutzernamens, Passworts, Server-URL und Server-Domain. Andere Konten (z. B. Google Gmail-Konten) verwenden den OAuth-Autorisierungsmechanismus, der es uns nicht erfordert, auf Ihr Passwort zuzugreifen oder es zu speichern.“

Für den Moment empfiehlt René Winkelmeyer allen Administratoren, den Mitarbeitern zu sagen, dass sie die iOS Outlook-App nicht verwenden und den Zugriff auf die E-Mail-Server ihrer Unternehmen blockieren sollen, bis die Sicherheitsprobleme behoben werden können.