Veliki sigurnosni problem u Microsoft Outlook aplikaciji

Objavio u 30/01/2015 u 21:49
outlook

Microsoft je juče predstavio “Outlook za iOS i Android” aplikaciju koja je zapravo rebrendirana već postojeća Acompli aplikacija koju je Microsoft kupio početkom decembra 2014. Međutim, prema developeru IBM-a René Winkelmeyeru, aplikacija predstavlja ozbiljan sigurnosni problem za kompanije kojima je namenjena i trebalo bi da je izbegavaju svi enterprajs korisnici. (Zašto me ovo ne čudi??)

Outlook-for-iOS-and-Android

Do sada najveći sigurnosni problem koji je developer našao je da sam Microsoft ima pristup korisničkim pristupnim podacima, uključujući korisničko ime i šifru.

“What I saw was breathtaking. A frequent scanning from an AWS IP to my mail account. Means Microsoft stores my personal credentials and server data (luckily I’ve used my private test account and not my company account) somewhere in the cloud! They haven’t asked me. They just scan. So they have in theory full access to my PIM data,” rekao je Winkelmeyer u blog postu.

Samo Gmail imejlovi, koji zahtevaju OAuth autorizaciju ne odaju Microsoft-u svoje podatke, Exchange nalozi to rade:

“Some email accounts (ones that use Microsoft Exchange, for example) also require that you provide your email login credentials, including your username, password, server URL, and server domain. Other accounts (Google Gmail accounts, for example) use the OAuth authorization mechanism which does not require us to access or store your password.”

Microsoft i Acompli promovišu ovaj indeksing servis kao unapređenje dostavljanja imejlova, ali za posledicu ovo ima veoma ozviljan sigurnosni propust i propust koji se tiče privatnosti. Ovo presretanje email-ova može biti posebno zlokobno za kompanije koje ne žele da odaju svoje informacije državnim institucijama (pogotovo SAD vlastima).

Državne institucije koje nisu SAD institucije teže mogu doći do ovih podataka, međutim i to je moguće na poseban zahtev Microsoft-u. Outlook za iOS i Android takođe prikupljaju podatke iz kalendara i kontakata, tako da su i ti podaci dostupni ovim državnim institucijama na zahtev.

Još jedan sigurnosni propust je po rečima Winkelmeyera “sigurnosni košmar”. Ovaj sigurnosni propust je zapravo da Microsoft ima ugrađenu konekciju sa OneDrive, Dropbox i Google Drive, koji enterprajs korisniku omogućuju da lako šeruje poverljive informacije drugima, ili još gore da na primer pristupi fajlovima koji su zaraženi zlonamernim softverom (malware).

Ovi sigurnosni propusti su izgleda stari propusti koje je i Acompli kompanija imala, a kako je Microsoft samo rebrendirao aplikaciju u Outlook, izgleda da Microsoft nije ni pokušao da se udubi u samu aplikaciju pre puštanja u javnost.

Moguće je i da je Microsoft bio svestan ovih propusta, ali da je odlučio da ipak pusti aplikaciju u etar jer je moguće da je Microsoft-u bilo u interesu da ovakvo indeksiranje kompanijskih imejlova i uradi. Ostaje da se vidi kako će na sve ovo Microsoft da reaguje, što će nam sigurno i dati uvid u to koje su im bile namere.

[via Tom’s Hardware]

Tags: AndroidDržavna bezbednostmicrosoftOutlookproblemsigurnost

Autor
eboye Vasilj Milošević

Objavljenih tekstova: 1160

Čovek koji je uvek tu kada ste u nevolji i koji će vam uvek pomoći svojim savetima i IT iskustvom. Hobi mu je čitanje ChangeLog-a. Posle HTC Hero telefona posedovao je HTC Desire HD, HTC One X, LG Nexus 5, LG G3, LG G4, HTC 10 a sada je ponosni vlasnik Xiaomi Mi Mix 2S telefona. Inače je grafički dizajner po struci, ali se sada bavi programiranjem i zanima ga sve u vezi modernih tehnologija. Čovek pored kojeg morate biti Up To Date je autor na Srbodroidu. (napisala: goldie)

Pošalji odgovor

Your email address will not be published. Required fields are marked *