Outlook per iOS e Android la sicurezza non esiste

outlook ios android privacy

  • 2 commenti
La notizia è di qualche giorno fa ma è davvero interessante, visto il recente rilascio dell'app Outlook per iOS e Android e la scoperta di un bella falla di sicurezza.

Tutto è nato dal post dell'amico IBM Champion Renè Winkelmeyer che ha scoperto diverse anomalie che possono diventare un bel problema aziendale.

Qui sotto la traduzione del post di Rene sopra indicato:

Caratteristiche File Sharing

L'app di Outlook ha dei connettori nativi verso OneDrive, Google Drive e DropBox. Ciò significa che l'utente può impostare il suo account personale di posta e condividere gli allegati usando questi servizi cloud.
Oppure può utilizzare files da questi servizi cloud nel proprio account di posta. Questo è sicuramente un incubo per la sicurezza dei dati.
Non importa se stiate usando una soluzione (MDM) per gestire le applicazioni. Questa feature specifica non la si può controllare.

Tipo di Device e Active Sync condiviso

Ogni client che utilizza ActiveSync normalmente ha un ID univoco per gestire la sincronizzazione dei dati. Questo permette all'Admin di vedere e controllare i device utiizzati da una persona (per un semplice wipe da remoto, reset etc...)
Microsoft Outlook iOS invece non utilizza questa strada!
L'applicazione condivide lo stesso ID per tutti i devices utilizzati da un utente.Come se fosse un unico dispositivo.
Ciò significa che se un utente installa Outlook app sul suo iPhone, iPad viene visto come un unico device senza distinzioni (come faccio a fare il wipe a questo punto in caso di furto? n.d.r)
Quest'altra cosa è un altro incubo per la sicurezza

Microsoft ha le tue credenziali

Ora la parte peggiore: Microsoft ha le tue credenziali di accesso e le salva nel cloud se utilizzi l'app iOS Outlook.
Quando si fa il setup dell'App, la prima volta, ti viene chiesto se vuoi ricevere le notifiche push.
Se si accetta (come un utente normale) questa impostazione, normalmente le notifiche push dovrebbero essere generate dal server remoto (Exchange o Domino etc.. n.d.r). Così è stato fatto il seguente test:
  • E' stata fermata l'applicazione sul device
  • E' stata inviata una mail di test da un altro account di posta (da browser da Gmail.com per esempio. n.d.r)  a quello configurato nel device
  • Immediatamente è stata ricevuta una notifica push dell'arrivo della nuova posta (ma come è stato possibile se l'App era spenta?)

Questa cosa non sembrava possibile a Rene...
O Microsoft stava facendo qualche magia su iOS di cui Rene non era a conoscenza oppure Microsoft stava utilizzando un central service, utilizzando le credenziali configurate da Rene sull'app iOS.
Per togliersi ogni dubbio è stato quindi fatto un ulteriore test
  • Tutti i dispositivi di Rene sono stati messi in Airplane mode in modo che non ci fosse alcuna comunicazione
  • Ha aperto con un viever access_log del suo Reverse Proxy Apache
  • Ecco cosa accadeva

 
54.148.96.196 – – [29/Jan/2015:16:19:50 +0100] “POST /traveler/Microsoft-Server-ActiveSync?User=mysupermail%40winkelmeyer.com&DeviceId=123123123123&DeviceType=Outlook&Cmd=Sync HTTP/1.1″ 200 25 “-” “Outlook-iOS-Android/1.0″
Quello che stava accadendo era folle!
Avveniva una scansione frequente da un IP AWS (Amazon Web Services) con le credenziali dell'account di Rene configurato la prima volta sul device.
Il significato di tutto questo è che Microsoft aveva salvato le credenziali e i dati del server di riferimento per scaricare la posta, da qualche parte nel cloud. E senza chiedere nulla hanno accesso in teoria a tutti i PIM data del dispositivo (contatti, mail, agenda).

Bloccare immediatamente!

Il consiglio che Rene da è quello di bloccare questa App dall'utilizzo degli utenti.
Oppure se si ha un  Reverse Proxy  davanti a Domino basta semplicemente bloccare qualunque connessione contenente HTTP User-Agent la voce "Outlook-iOS-App".
Qualora non si abbia un reverse proxy si può utilizzare il parametro NOTES.INI "NTS_USER_AGENT_ALLOWED_REGEX"

Aggiornamento

Ancora peggio per coloro che non lo sanno, Microsoft ha acquistato Acompli qualche tempo fa, ribrendizzandola Outlook app che nelle norme sulla privacy spiega chiaramente che l'accesso ai PIM è reale.

Rene prosegue in un secondo post a questa pagina  spiegando il problema non è legato solo ad Exchange, ma a qualunque ActiveSync configurato con questa app.. inoltre fornisce suggerimenti per come dovrebbe essere utilizzato correttamete il push delle notifiche etc..

Il post di Rene ha fatto il giro del mondo in poco tempo ed è stato pubblicato su diverse riviste del settore come:

http://www.theregister.co.uk/2015/01/30/dev_finds_bleak_security_outlook_for_ios_app/
http://www.zdnet.com/article/outlook-for-ios-app-breaks-corporate-security-researcher-warns/
http://betanews.com/2015/02/01/warning-microsofts-new-ios-outlook-app-is-insecure/
http://www.tomshardware.com/news/outlook-ios-android-security-issues,28479.html
http://www.securityweek.com/researcher-calls-out-microsoft-over-outlook-ios-security
http://siliconangle.com/blog/2015/02/02/microsofts-outlook-for-ios-receives-both-high-praise-and-a-big-warning-regarding-user-security/

nonchè su alcune italiane come

http://www.webnews.it/2015/02/02/outlook-ios-android-privacy/
http://www.androidworld.it/2015/01/31/microsoft-outlook-mette-rischio-privacy-degli-utenti-270806/


A voi i commenti...


2 Commenti:

  • #1 daniele grillo 02/06/2015 10:54:05 AM

    Il problema è solamente legato alla app specifica di Outlook non quella nativa...

  • #2 mircot 02/05/2015 9:24:09 AM

    bene. si fa per dire..

    però non ho capito se c'è lo stesso problema anche con la configurazione normale di traveler su iphone e ipad, usando l'app Mail nativa.

Commenta articolo
 

Questo spazio web è stato creato da per un uso pubblico e gratuito. Qualsiasi tipo di collaborazione sarà ben accetta.
Per maggiori informazioni, scrivete a info@dominopoint.it

About Dominopoint
Social
Dominopoint social presence: