IBM Developer обнаруживает, что приложение Outlook для iOS не имеет надлежащей безопасности

Приложение Outlook для iOS позволяет Microsoft видеть все учетные данные почтовых аккаунтов и серверов без ведома пользователей.

В тот же день, когда Microsoft выпустила свое новое приложение Outlook для iOS, Рене Винкельмейер, разработчик IBM, предупредил, что оно нарушает корпоративную безопасность несколькими способами.

Руководитель разработки в midpoints GmbH и IBM Champion, Рене Винкельмейер, обнаружил некоторые проблемы с безопасностью, из-за которых Microsoft будет получать и хранить ваши учетные данные почтового аккаунта и данные сервера в облаке (без уведомления вас), если вы используете новое приложение Outlook для iOS.

Он обнаружил эти детали, анализируя, как механизм приложения Outlook для iOS обрабатывает push-уведомления и заметки, что дает Microsoft потенциальный доступ к данным управления личной информацией. Он подробно объясняет это здесь.

Еще одной проблемой безопасности приложения Outlook для iOS является то, что, хотя приложение установлено пользователем на нескольких устройствах, оно будет иметь один и тот же идентификатор на всех из них, что помешает администраторам различать устройства разных пользователей. Также встроенные соединители приложения Outlook для iOS к OneDrive, Dropbox и Google Drive представляют собой кошмар для безопасности данных.

Рене Винкельмейер отметил встроенные соединители в приложении Outlook для iOS:

“Это означает, что пользователь может настроить свой личный аккаунт в приложении и делиться всеми вложениями электронной почты, используя эти сервисы. Или использовать файлы из этих сервисов в своем корпоративном почтовом аккаунте”

Эти проблемы безопасности появились в новом приложении Outlook для iOS после того, как Microsoft купила мобильную почтовую компанию Accompli менее чем два месяца назад, и они обновили свою политику конфиденциальности (обновлено 28 января 2015 года), которая гласит:

“Мы предоставляем сервис, который индексирует и ускоряет доставку вашей электронной почты на ваше устройство. Это означает, что наш сервис получает ваши входящие и исходящие сообщения электронной почты и безопасно отправляет их в приложение на вашем устройстве. Аналогично, сервис получает данные календаря и контакты адресной книги, связанные с вашим почтовым аккаунтом, и безопасно отправляет их в приложение на вашем устройстве. Эти сообщения, события календаря и контакты, вместе с их сопутствующими метаданными, могут временно храниться и индексироваться безопасно как на наших серверах, так и локально в приложении на вашем устройстве. Если у ваших электронных писем есть вложения и вы запрашиваете их открытие в нашем приложении, сервис получает их с почтового сервера, безопасно временно хранит их на наших серверах и доставляет в приложение.” ” Если вы решите подписаться на использование сервиса, вам нужно будет создать учетную запись. Это требует, чтобы вы предоставили адрес(а) электронной почты, к которым вы хотите получить доступ с помощью нашего сервиса. Некоторые почтовые аккаунты (например, те, которые используют Microsoft Exchange) также требуют, чтобы вы предоставили свои учетные данные для входа в почту, включая ваше имя пользователя, пароль, URL сервера и домен сервера. Другие аккаунты (например, аккаунты Google Gmail) используют механизм авторизации OAuth, который не требует от нас доступа или хранения вашего пароля.”

На данный момент Рене Винкельмейер рекомендует всем администраторам сообщить сотрудникам, чтобы они не использовали приложение Outlook для iOS и заблокировали его доступ к почтовым серверам своих компаний. Пока проблемы безопасности не будут решены.