В Outlook для iOS и Android обнаружены уязвимости

Недавно выпущенные мобильные версии Microsoft Outlook для iOS и Android (они же Acompli) небезопасны в использовании — в частности, потому, что хранят ваши логин и пароль в облаке. Об этом пишет в своем блоге IBM Champion разработчик мобильного ПО для компании IBM Рене Винкельмейер. Рене обнаружил потенциальную уязвимость, остановив Outlook и послав себе почтовое сообщение из другого аккаунта. Push-уведомления о полученных сообщениях все равно продолжали приходить. Изучив логи сервера, Винкельмейер заметил, что его почтовый аккаунт проверялся из облака без его разрешения. «Другими словами, Microsoft хранит мои личные данные и серверную информацию (хорошо, что я зашел не с рабочего аккаунта!) где-то в облаке! Без моего разрешения».

Предостережения Винкельмейера в основном предназначены для больших корпораций, сотрудники которых внезапно понаставили себе новый Outlook. Но они представляют интерес и для индивидуальных пользователей.

Среди других поводов для беспокойства Винкельмейер называет тот факт, что Outlook позволяет шеринг почтовых вложений через OneDrive, Dropbox и Google Drive. Установив Outlook, пользователь может выкладывать в облако любые аттачменты — в том числе и из рабочей почты! — или вкладывать файлы из облака в почту из корпоративного аккаунта. Последнее открывает широкие возможности для заражения почтовых серверов целых корпораций вредоносным ПО. Наконец, на iOS Outlook использует один и тот же идентификатор клиента синхронизации ActiveSync для iPhone и iPad. Это тоже представляет собой целый ряд проблем для корпоративной службы ИТ-безопасности.

Изначально Винкельмейер дал только один совет: заблокировать Outlook доступ к корпоративным серверам и проинформировать пользователей, что использовать приложение на рабочем месте не рекомендуется. В последнем апдейте Винкельмейер предложил Microsoft перейти с push-уведомлений к fetch-уведомлениям, использующим данные с устройства пользователя. «А если вы используете Office 365 — можете вообще не беспокоиться. Вы уже вручили Microsoft все свои личные данные».

Как выяснилось в итоге, проблемы Outlook для Android и iOS с безопасностью данных — следствие ребрендинга. В пользовательском соглашении Acompli прямо оговаривалось, что сообщения пользователя (со всеми прикрепленными файлами!), данные из календаря и адресной книги, а также логины и пароли почтовых аккаунтов (!!!) могут «временно храниться» на серверах Acompli.

P.S. В пятницу в официальном блог-посте директор по программному менеджменту бизнес-направления Microsoft Джим Альков дал понять, что в качестве бета-тестеров Windows 10 будут использоваться... некорпоративные пользователи! Патчи для Enterprise-версий будут выходить через четыре месяца после «гражданских» — после того, как «миллионы инсайдеров и потребителей отточат на себе все внутренние тонкости процесса».