IBM Developer descobre que o aplicativo Outlook para iOS carece de segurança adequada

O aplicativo Outlook para iOS permite que a Microsoft veja todas as credenciais de conta de e-mail e servidor sem o conhecimento dos usuários.

No mesmo dia em que a Microsoft lançou seu novo aplicativo Outlook para iOS, René Winkelmeyer, um desenvolvedor da IBM, alertou que ele compromete a segurança corporativa de várias maneiras.

O Chefe de Desenvolvimento da midpoints GmbH e Campeão da IBM, René Winkelmeyer, descobriu alguns problemas de segurança que a Microsoft obterá e armazenará suas credenciais de conta de e-mail e dados do servidor na nuvem (sem notificá-lo) se você usar o novo aplicativo Outlook para iOS.

Ele descobriu esses detalhes enquanto analisava como o mecanismo do aplicativo Outlook para iOS lida com notificações push e notas, que a Microsoft tem acesso potencial aos dados de gerenciamento de informações pessoais. Ele elabora isso em detalhes aqui.

Outra complicação de segurança do aplicativo Outlook para iOS é que, mesmo que o aplicativo seja instalado pelo usuário em vários dispositivos, ele terá o mesmo ID em todos eles, o que impedirá os administradores de distinguir o dispositivo de um usuário de outro. Além disso, os conectores integrados do aplicativo Outlook para iOS ao OneDrive, Dropbox e Google Drive são um pesadelo de segurança de dados.

René Winkelmeyer observou sobre os conectores integrados no aplicativo Outlook para iOS:

“Isso significa que um usuário pode configurar sua conta pessoal dentro do aplicativo e compartilhar todos os anexos de e-mail usando esses serviços. Ou usar arquivos desses serviços dentro de sua conta de e-mail da empresa”

Esses problemas de segurança surgem no novo aplicativo Outlook para iOS depois que a Microsoft comprou a empresa de aplicativos de e-mail móvel Accompli há menos de dois meses e eles atualizaram sua política de privacidade (atualizada em 28 de janeiro de 2015) que diz:

“Nós fornecemos um serviço que indexa e acelera a entrega do seu e-mail para o seu dispositivo. Isso significa que nosso serviço recupera suas mensagens de e-mail recebidas e enviadas e as envia com segurança para o aplicativo em seu dispositivo. Da mesma forma, o serviço recupera os dados do calendário e os contatos da lista de endereços associados à sua conta de e-mail e os envia com segurança para o aplicativo em seu dispositivo. Essas mensagens, eventos de calendário e contatos, juntamente com seus metadados associados, podem ser armazenados temporariamente e indexados com segurança tanto em nossos servidores quanto localmente no aplicativo em seu dispositivo. Se seus e-mails tiverem anexos e você solicitar abri-los em nosso aplicativo, o serviço os recupera do servidor de e-mail, os armazena temporariamente em nossos servidores e os entrega ao aplicativo.” ” Se você decidir se inscrever para usar o serviço, precisará criar uma conta. Isso requer que você forneça o(s) endereço(s) de e-mail que deseja acessar com nosso serviço. Algumas contas de e-mail (aquelas que usam Microsoft Exchange, por exemplo) também exigem que você forneça suas credenciais de login de e-mail, incluindo seu nome de usuário, senha, URL do servidor e domínio do servidor. Outras contas (contas do Google Gmail, por exemplo) usam o mecanismo de autorização OAuth que não requer que acessemos ou armazenemos sua senha.”

Por enquanto, René Winkelmeyer recomenda a todos os administradores que informem os funcionários para não usarem o aplicativo Outlook para iOS e bloqueiem seu acesso aos servidores de e-mail de suas empresas. Até que os problemas de segurança possam ser resolvidos.