IBM DeveloperがiOS Outlookアプリの適切なセキュリティが欠如していることを発見

iOS Outlookアプリは、ユーザーの知らないうちにMicrosoftがすべてのメールアカウントとサーバーの資格情報を見ることを許可します。

MicrosoftがiOS用の新しいOutlookアプリをリリースした同日、IBMの開発者であるレネ・ウィンケルマイヤーは、企業のセキュリティを複数の方法で破ると警告しました。

midpoints GmbHの開発責任者でありIBMチャンピオンであるレネ・ウィンケルマイヤーは、新しいiOS Outlookアプリを使用すると、Microsoftがあなたのメールアカウントの資格情報とサーバーデータをクラウドに取得して保存することを発見しました（通知なしに）。

彼は、iOS Outlookアプリのメカニズムがプッシュ通知やメモをどのように処理するかを分析している際に、Microsoftが個人情報管理データに潜在的にアクセスできることを発見しました。彼はここで詳細に説明しています。

iOS Outlookアプリのもう一つのセキュリティの複雑さは、ユーザーが複数のデバイスにアプリをインストールしても、すべてのデバイスで同じIDを持つため、管理者がユーザーのデバイスを区別できなくなることです。また、iOS OutlookアプリのOneDrive、Dropbox、Google Driveへの組み込みコネクタは、データセキュリティの悪夢です。

レネ・ウィンケルマイヤーは、iOS Outlookアプリの組み込みコネクタについて次のように述べています：

“つまり、ユーザーはアプリ内で個人アカウントを設定し、これらのサービスを使用してすべてのメール添付ファイルを共有することができます。また、会社のメールアカウント内でこれらのサービスからファイルを使用することもできます。”

これらのセキュリティ問題は、Microsoftがモバイルメールアプリ企業Accompliを2ヶ月前に買収した後に新しいiOS Outlookアプリに持ち込まれ、彼らはプライバシーポリシーを更新しました（2015年1月28日更新）には次のように記載されています：

“私たちは、あなたのメールをデバイスにインデックスし、配信を加速するサービスを提供しています。つまり、私たちのサービスは、あなたの受信および送信メールメッセージを取得し、安全にあなたのデバイスのアプリにプッシュします。同様に、サービスは、あなたのメールアカウントに関連するカレンダーデータやアドレス帳の連絡先を取得し、安全にあなたのデバイスのアプリにプッシュします。それらのメッセージ、カレンダーイベント、連絡先、およびそれに関連するメタデータは、一時的に私たちのサーバーとあなたのデバイスのアプリの両方に安全に保存およびインデックスされる場合があります。あなたのメールに添付ファイルがあり、私たちのアプリでそれらを開くように要求した場合、サービスはそれらをメールサーバーから取得し、一時的に私たちのサーバーに安全に保存し、アプリに配信します。” ” サービスを利用するためにサインアップすることを決定した場合、アカウントを作成する必要があります。それには、私たちのサービスでアクセスしたいメールアドレスを提供する必要があります。いくつかのメールアカウント（たとえばMicrosoft Exchangeを使用するもの）は、ユーザー名、パスワード、サーバーURL、およびサーバードメインを含むメールログイン資格情報を提供する必要があります。他のアカウント（たとえばGoogle Gmailアカウント）は、OAuth認証メカニズムを使用しており、私たちがあなたのパスワードにアクセスしたり保存したりする必要はありません。”

現在、レネ・ウィンケルマイヤーはすべての管理者に、従業員にiOS Outlookアプリを使用しないように指示し、企業のメールサーバーへのアクセスをブロックするように勧めています。セキュリティの問題が解決されるまで。