Tutto è nato dal post dell'amico IBM Champion Renè Winkelmeyer che ha scoperto diverse anomalie che possono diventare un bel problema aziendale.
Qui sotto la traduzione del post di Rene sopra indicato:
Caratteristiche File Sharing
L'app di Outlook ha dei connettori nativi verso OneDrive, Google Drive e DropBox. Ciò significa che l'utente può impostare il suo account personale di posta e condividere gli allegati usando questi servizi cloud.
Oppure può utilizzare files da questi servizi cloud nel proprio account di posta. Questo è sicuramente un incubo per la sicurezza dei dati.
Non importa se stiate usando una soluzione (MDM) per gestire le applicazioni. Questa feature specifica non la si può controllare.
Tipo di Device e Active Sync condiviso
Ogni client che utilizza ActiveSync normalmente ha un ID univoco per gestire la sincronizzazione dei dati. Questo permette all'Admin di vedere e controllare i device utiizzati da una persona (per un semplice wipe da remoto, reset etc...)
Microsoft Outlook iOS invece non utilizza questa strada!
L'applicazione condivide lo stesso ID per tutti i devices utilizzati da un utente.Come se fosse un unico dispositivo.
Ciò significa che se un utente installa Outlook app sul suo iPhone, iPad viene visto come un unico device senza distinzioni (come faccio a fare il wipe a questo punto in caso di furto? n.d.r)
Quest'altra cosa è un altro incubo per la sicurezza
Microsoft ha le tue credenziali
Ora la parte peggiore: Microsoft ha le tue credenziali di accesso e le salva nel cloud se utilizzi l'app iOS Outlook.
Quando si fa il setup dell'App, la prima volta, ti viene chiesto se vuoi ricevere le notifiche push.
Se si accetta (come un utente normale) questa impostazione, normalmente le notifiche push dovrebbero essere generate dal server remoto (Exchange o Domino etc.. n.d.r). Così è stato fatto il seguente test:
- E' stata fermata l'applicazione sul device
- E' stata inviata una mail di test da un altro account di posta (da browser da Gmail.com per esempio. n.d.r) a quello configurato nel device
- Immediatamente è stata ricevuta una notifica push dell'arrivo della nuova posta (ma come è stato possibile se l'App era spenta?)
Questa cosa non sembrava possibile a Rene...
O Microsoft stava facendo qualche magia su iOS di cui Rene non era a conoscenza oppure Microsoft stava utilizzando un central service, utilizzando le credenziali configurate da Rene sull'app iOS.
Per togliersi ogni dubbio è stato quindi fatto un ulteriore test
- Tutti i dispositivi di Rene sono stati messi in Airplane mode in modo che non ci fosse alcuna comunicazione
- Ha aperto con un viever access_log del suo Reverse Proxy Apache
- Ecco cosa accadeva
54.148.96.196 – – [29/Jan/2015:16:19:50 +0100] “POST /traveler/Microsoft-Server-ActiveSync?User=mysupermail%40winkelmeyer.com&DeviceId=123123123123&DeviceType=Outlook&Cmd=Sync HTTP/1.1″ 200 25 “-” “Outlook-iOS-Android/1.0″
Avveniva una scansione frequente da un IP AWS (Amazon Web Services) con le credenziali dell'account di Rene configurato la prima volta sul device.
Il significato di tutto questo è che Microsoft aveva salvato le credenziali e i dati del server di riferimento per scaricare la posta, da qualche parte nel cloud. E senza chiedere nulla hanno accesso in teoria a tutti i PIM data del dispositivo (contatti, mail, agenda).
Bloccare immediatamente!
Il consiglio che Rene da è quello di bloccare questa App dall'utilizzo degli utenti.
Oppure se si ha un Reverse Proxy davanti a Domino basta semplicemente bloccare qualunque connessione contenente HTTP User-Agent la voce "Outlook-iOS-App".
Qualora non si abbia un reverse proxy si può utilizzare il parametro NOTES.INI "NTS_USER_AGENT_ALLOWED_REGEX"
Aggiornamento
Ancora peggio per coloro che non lo sanno, Microsoft ha acquistato Acompli qualche tempo fa, ribrendizzandola Outlook app che nelle norme sulla privacy spiega chiaramente che l'accesso ai PIM è reale.
Rene prosegue in un secondo post a questa pagina spiegando il problema non è legato solo ad Exchange, ma a qualunque ActiveSync configurato con questa app.. inoltre fornisce suggerimenti per come dovrebbe essere utilizzato correttamete il push delle notifiche etc..
Il post di Rene ha fatto il giro del mondo in poco tempo ed è stato pubblicato su diverse riviste del settore come:
http://www.theregister.co.uk/2015/01/30/dev_finds_bleak_security_outlook_for_ios_app/
http://www.zdnet.com/article/outlook-for-ios-app-breaks-corporate-security-researcher-warns/
http://betanews.com/2015/02/01/warning-microsofts-new-ios-outlook-app-is-insecure/
http://www.tomshardware.com/news/outlook-ios-android-security-issues,28479.html
http://www.securityweek.com/researcher-calls-out-microsoft-over-outlook-ios-security
http://siliconangle.com/blog/2015/02/02/microsofts-outlook-for-ios-receives-both-high-praise-and-a-big-warning-regarding-user-security/
nonchè su alcune italiane come
http://www.webnews.it/2015/02/02/outlook-ios-android-privacy/
http://www.androidworld.it/2015/01/31/microsoft-outlook-mette-rischio-privacy-degli-utenti-270806/
A voi i commenti...
2 Commenti:
Il problema è solamente legato alla app specifica di Outlook non quella nativa...
bene. si fa per dire..
però non ho capito se c'è lo stesso problema anche con la configurazione normale di traveler su iphone e ipad, usando l'app Mail nativa.