IBM Developer scopre che l'app Outlook per iOS manca di una sicurezza adeguata

L’app Outlook per iOS consente a Microsoft di vedere tutte le credenziali degli account di posta e dei server senza la conoscenza degli utenti.

Lo stesso giorno in cui Microsoft ha rilasciato la sua nuova app Outlook per iOS, René Winkelmeyer, uno sviluppatore di IBM, ha avvertito che essa compromette la sicurezza aziendale in più modi.

Il Responsabile dello Sviluppo di midpoints GmbH e IBM Champion, René Winkelmeyer, ha scoperto alcuni problemi di sicurezza che Microsoft otterrà e memorizzerà le credenziali del tuo account di posta e i dati del server nel cloud (senza notificarti) se utilizzi la nuova app Outlook per iOS.

Ha scoperto questi dettagli mentre analizzava come il meccanismo dell’app Outlook per iOS gestisce le notifiche push e le note, che Microsoft ha accesso potenziale ai dati di gestione delle informazioni personali. Lo elabora in dettaglio qui.

Un’altra complicazione di sicurezza dell’app Outlook per iOS è che, anche se l’app è installata dall’utente su più dispositivi, avrà lo stesso ID su tutti, il che impedirà agli amministratori di distinguere il dispositivo di un utente da un altro. Inoltre, i connettori integrati dell’app Outlook per iOS a OneDrive, Dropbox e Google Drive sono un incubo per la sicurezza dei dati.

René Winkelmeyer ha notato sui connettori integrati nell’app Outlook per iOS:

“Ciò significa che un utente può configurare il proprio account personale all’interno dell’app e condividere tutti gli allegati delle email utilizzando quei servizi. Oppure utilizzare file di quei servizi all’interno del proprio account email aziendale”

Questi problemi di sicurezza sono emersi nella nuova app Outlook per iOS dopo che Microsoft ha acquistato la società di app email mobile Accompli meno di due mesi fa e hanno aggiornato la loro politica sulla privacy (aggiornata il 28 gennaio 2015) che afferma:

“Forniamo un servizio che indicizza e accelera la consegna della tua email al tuo dispositivo. Ciò significa che il nostro servizio recupera i tuoi messaggi email in entrata e in uscita e li invia in modo sicuro all’app sul tuo dispositivo. Allo stesso modo, il servizio recupera i dati del calendario e i contatti della rubrica associati al tuo account email e li invia in modo sicuro all’app sul tuo dispositivo. Quei messaggi, eventi del calendario e contatti, insieme ai loro metadati associati, possono essere temporaneamente memorizzati e indicizzati in modo sicuro sia nei nostri server che localmente sull’app sul tuo dispositivo. Se le tue email hanno allegati e richiedi di aprirli nella nostra app, il servizio li recupera dal server di posta, li memorizza temporaneamente in modo sicuro sui nostri server e li consegna all’app.” ” Se decidi di iscriverti per utilizzare il servizio, dovrai creare un account. Ciò richiede che tu fornisca l’indirizzo email (o gli indirizzi) che desideri accedere con il nostro servizio. Alcuni account email (quelli che utilizzano Microsoft Exchange, ad esempio) richiedono anche che tu fornisca le tue credenziali di accesso email, inclusi nome utente, password, URL del server e dominio del server. Altri account (account Google Gmail, ad esempio) utilizzano il meccanismo di autorizzazione OAuth che non richiede che noi accediamo o memorizziamo la tua password.”

Per ora, René Winkelmeyer raccomanda a tutti gli amministratori di dire ai dipendenti di non utilizzare l’app Outlook per iOS e di bloccarla dall’accesso ai server di posta delle loro aziende. Fino a quando i problemi di sicurezza non possono essere risolti.