IBM 개발자, iOS Outlook 앱의 보안 문제 발견

iOS Outlook 앱은 사용자의 동의 없이 Microsoft가 모든 메일 계정 및 서버 자격 증명을 볼 수 있게 허용합니다.

Microsoft가 iOS용 새로운 Outlook 앱을 출시한 같은 날, IBM의 개발자인 René Winkelmeyer는 이 앱이 여러 가지 방법으로 기업 보안을 위반한다고 경고했습니다.

midpoints GmbH의 개발 책임자이자 IBM 챔피언인 René Winkelmeyer는 사용자가 새로운 iOS Outlook 앱을 사용할 경우 Microsoft가 메일 계정 자격 증명 및 서버 데이터를 클라우드에 저장하고 수집할 수 있는 몇 가지 보안 문제를 발견했습니다(사용자에게 알리지 않고).

그는 iOS Outlook 앱의 메커니즘이 푸시 알림 및 메모를 처리하는 방식을 분석하는 동안 이러한 세부 사항을 발견했으며, Microsoft가 개인 정보 관리 데이터에 잠재적으로 접근할 수 있음을 설명합니다. 그는 여기에서 이를 자세히 설명합니다.

iOS Outlook 앱의 또 다른 보안 문제는 사용자가 여러 장치에 앱을 설치하더라도 모든 장치에서 동일한 ID를 가지게 되어 관리자가 한 사용자의 장치를 다른 장치와 구별할 수 없게 된다는 것입니다. 또한 iOS Outlook 앱의 OneDrive, Dropbox 및 Google Drive에 대한 내장 커넥터는 데이터 보안의 악몽입니다.

René Winkelmeyer는 iOS Outlook 앱의 내장 커넥터에 대해 다음과 같이 언급했습니다:

“즉, 사용자가 앱 내에서 개인 계정을 설정하고 이러한 서비스를 사용하여 모든 메일 첨부 파일을 공유할 수 있습니다. 또는 회사 메일 계정 내에서 이러한 서비스의 파일을 사용할 수 있습니다.”

이러한 보안 문제는 Microsoft가 모바일 이메일 앱 회사인 Accompli를 인수한 지 두 달도 안 되어 새로운 iOS Outlook 앱에 발생했으며, 그들은 개인 정보 보호 정책을 업데이트했습니다(2015년 1월 28일 업데이트됨)에서 다음과 같이 말합니다:

“우리는 귀하의 이메일을 귀하의 장치로 색인화하고 전달 속도를 높이는 서비스를 제공합니다. 즉, 우리의 서비스는 귀하의 수신 및 발신 이메일 메시지를 검색하여 귀하의 장치의 앱으로 안전하게 푸시합니다. 유사하게, 이 서비스는 귀하의 이메일 계정과 관련된 캘린더 데이터 및 주소록 연락처를 검색하여 귀하의 장치의 앱으로 안전하게 푸시합니다. 이러한 메시지, 캘린더 이벤트 및 연락처는 관련 메타데이터와 함께 일시적으로 안전하게 저장되고 색인화될 수 있습니다. 귀하의 이메일에 첨부 파일이 있고 이를 앱에서 열도록 요청하면, 서비스는 메일 서버에서 이를 검색하여 안전하게 일시적으로 우리의 서버에 저장하고 앱으로 전달합니다.” “서비스를 사용하기 위해 가입하기로 결정하면 계정을 생성해야 합니다. 이를 위해서는 우리의 서비스로 접근하고자 하는 이메일 주소를 제공해야 합니다. 일부 이메일 계정(예: Microsoft Exchange를 사용하는 계정)은 이메일 로그인 자격 증명, 즉 사용자 이름, 비밀번호, 서버 URL 및 서버 도메인을 제공해야 합니다. 다른 계정(예: Google Gmail 계정)은 비밀번호에 접근하거나 저장할 필요가 없는 OAuth 인증 메커니즘을 사용합니다.”

현재 René Winkelmeyer는 모든 관리자가 직원들에게 iOS Outlook 앱을 사용하지 말라고 알리고, 회사의 메일 서버에 접근하지 못하도록 차단할 것을 권장합니다. 보안 문제가 해결될 때까지.