Udvikler: Outlook til iOS er et sikkerhedsmareridt

Microsofts mailklient Outlook er netop lanceret til iOS. Men ifølge en udviklingschef vil appen bryde virksomhedens sikkerhed og er et decideret sikkerhedsmareridt.

Mens iPhone-brugere længe har været nødsaget til at bruge den indbyggede mailklient, hvis de ville bruge deres Outlook-mail, kan de nu bruge en officiel app fra Microsoft til formålet. Men det er langt fra godt nyt, lyder det fra en udviklingschef, der på det kraftigste fraråder enhver at bruge applikationen.

René Winkelmeyer er til dagligt udviklingschef i it-virksomheden Midpoints, der specialiserer sig i softwareudvikling og konsulentarbejde baseret på IBM-produkter. Efter at have prøvet den nye Outlook-app til iOS blev han så forfærdet, at han bloggede om nogle af de ting, der burde få advarselslamperne til at blinke i de fleste virksomheder.

For appen har flere åbenlyse sikkerhedsproblemer, hvis man skal tro René Winkelmeyer. Ifølge hans undersøgelser, vil Microsoft opbevare dine loginoplysninger i skyen, hvis du bruger iOS Outlook appen. Det betyder altså, at en tredjepart kan opbevare loginoplysningerne til en følsom virksomhedskonto.

Appen har indbygget understøttelse af storagetjenester som OneDrive, Dropbox og Google Drive. Det gør det muligt for brugeren at bruge sine personlige konti og dele alle vedhæftede filer fra mails med disse tjenester. Det betyder altså, at selv om du som it-ansvarlig har blokeret for disse tjenester som apps, kan brugerne altså tilgå dem direkte i Outlook-appen.

Og så deler ActiveSync-enheder den samme enheds-ID. Det betyder altså, at det er umuligt som it-ansvarlig at vide, om der er tale om en iPhone, en iPad eller begge dele.

Appen skulle efter sigende være baseret på en lignende app udviklet af virksomheden Acompli, som Microsoft for nyligt opkøbte. Herefter skulle appen være blevet rebrandet til at være en officiel Outlook-applikation. I betingelserne for Acompli fremgår det bl.a.:

»Vi tilbyder en service, der indekserer og accelererer leveringen af din e-mail til din enhed. Det betyder, at vores service henter dine indkomne og udgående e-mail-beskeder, og sikkert skubber dem til appen på din enhed. Ligeledes indhenter servicen kalender- og adressebogsdata, der er tilknyttet din e-mail-konto, og skubber disse sikkert til appen på din enhed. Disse beskeder, kalenderbegivenheder og kontakter, sammen med de tilknyttede metadata, kan blive opbevaret midlertidigt og indekseret sikkert både på vores servere og lokalt i appen på din enhed. Hvis dine e-mails har vedhæftninger, og du vælger at åbne dem i vores app, vil servicen hente vedhæftningerne fra mailserveren, opbevare dem midlertidigt og sikkert på vores servere, og herefter levere dem til appen.« (markering med fed foretaget af René Winkelmeyer).

Du kan læse hele René Winkelmeyers indlæg her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (10)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#4 Jakob Damkjær

Findes når en virksomhed åber for webaccess interfacet på deres exchange/outlook server ?

og det intresante spørgsmål er vel hvilke låsninger af outlook appen som Microsoft tilbyder fra deres admin console i exchange serveren... Monstro ikke der kommer et flueben, lås exchange app til "OneDrive for Business"... og lidt meget conjecture at antage at EULAen for et andet firma og produkt vil være det samme når Microsoft har købt dem.

Med Cyanogen investeringen og Office til Android og iOS, samt markante opdateringer til programmer som Lync og OneNote virker det som om Microsoft er igang med et taktisk klogt tilbage trækning kombineret med et meget smart træk...

De har indset at de ikke får traction med Windows Phone lige nu... Så for at forhindre at deres årtier sikre markedes position indenfor virksomheder og office programmer og kalender, mail og fil servere (onedrive, sharepoint osv)...

Så udgiver de alt til iOS så Office og Exchange stadig er førsteklasses borgere i virksomheder og ikke bare det som dem der ikke kan gøre for det stadig bruger på deres kontor... Samtidigt vil det være ekstremt smart hvis de lige laver en verdensklasse svinestreg mod google og udgiver en version af android som bruger microsoft online tjenester, ikke har nogen profiling og tilbyder integration med microsofts enhedsstyrings software (blokering, fjernsletning, automatisk opdatering og mulighed for overvågning fra virksomhedens IT sec afdeling evt. som en tjeneste fra microsoft)... en cyanogen mod installer der bibeholder cryptografisk signerings integritet med signatur tjenester integreret i microsoft dims management software vil være flytte alle de der gamle android dimser som folk ikke vil af med (af uvisse årsager... nogen mennesker er bare sentimentale over et specifikt slideout keyboard) fra noget der holder de sikkerheds ansvarlige søvnløse til noget de har en "orbital ion cannon" option til... Det kunne jeg godt se pointen med.

Det ville være et rigtigt smart måde at forhindre at fårene der er lidt urolige bliver i folden og levere et produkt der vil få IT sec afdelinger over hele verden til at smile over hele femøren, da alle de der besværlige android og iOS dimser bliver fra et tjenestes sikkerheds synspunkt lige så nemme at håndtere som en windows phone dims eller windows 10 tablet.

  • 2
  • 3
#8 Jesper Poulsen

Sure thing... men derfor er det stadig lidt bisart at man er sentimental over et specifikt slideout keyboard på en HTC telefon fra for 6 år siden der kun kan køre android 2...

Hvis det er det eneste der fungerer med det sygdom man lider af, så er der ikke noget bizart over det.

Selv sidder jeg med en Xperia Mini Pro til alt hvad der har med opkald, kalender og SMS at gøre, idet jeg ikke kan bruge touch til de opgaver.

  • 0
  • 0
#10 Gunnar Hermansen

Jeg spottede at Microsoft Outlook app´en terminere sin SSL forbindelse hos Amazon Web Services, ved hjælp af vores secure device provisioning, som sender en SMS med IP adresse og organisation, på den IP adresse, som forbindelsen kommer ind med til Exchange Serveren. Det alene er et kæmpe problem, for alle mails mv. vil være i klar tekst hos Amazon. læs mere her: http://blog.smspasscode.com/how-i-spotted-the-microsoft-outlook-app-ios-...

  • 0
  • 0
Log ind eller Opret konto for at kommentere