Mail.RuПочтаМой МирОдноклассникиИгрыЗнакомстваНовостиПоискВсе проекты
2 февраля 2015, Источник: IBM Champion

В Outlook для iOS и Android обнаружены уязвимости

Недавно выпущенные мобильные версии Microsoft Outlook для iOS и Android (они же Acompli) небезопасны в использовании — в частности, потому, что хранят ваши логин и пароль в облаке. Об этом пишет в своем блоге IBM Champion разработчик мобильного ПО для компании IBM Рене Винкельмейер. Рене обнаружил потенциальную уязвимость, остановив Outlook и послав себе почтовое сообщение из другого аккаунта. Push-уведомления о полученных сообщениях все равно продолжали приходить. Изучив логи сервера, Винкельмейер заметил, что его почтовый аккаунт проверялся из облака без его разрешения. «Другими словами, Microsoft хранит мои личные данные и серверную информацию (хорошо, что я зашел не с рабочего аккаунта!) где-то в облаке! Без моего разрешения».

Предостережения Винкельмейера в основном предназначены для больших корпораций, сотрудники которых внезапно понаставили себе новый Outlook. Но они представляют интерес и для индивидуальных пользователей.

Среди других поводов для беспокойства Винкельмейер называет тот факт, что Outlook позволяет шеринг почтовых вложений через OneDrive, Dropbox и Google Drive. Установив Outlook, пользователь может выкладывать в облако любые аттачменты — в том числе и из рабочей почты! — или вкладывать файлы из облака в почту из корпоративного аккаунта. Последнее открывает широкие возможности для заражения почтовых серверов целых корпораций вредоносным ПО. Наконец, на iOS Outlook использует один и тот же идентификатор клиента синхронизации ActiveSync для iPhone и iPad. Это тоже представляет собой целый ряд проблем для корпоративной службы ИТ-безопасности.

Изначально Винкельмейер дал только один совет: заблокировать Outlook доступ к корпоративным серверам и проинформировать пользователей, что использовать приложение на рабочем месте не рекомендуется. В последнем апдейте Винкельмейер предложил Microsoft перейти с push-уведомлений к fetch-уведомлениям, использующим данные с устройства пользователя. «А если вы используете Office 365 — можете вообще не беспокоиться. Вы уже вручили Microsoft все свои личные данные».

Как выяснилось в итоге, проблемы Outlook для Android и iOS с безопасностью данных — следствие ребрендинга. В пользовательском соглашении Acompli прямо оговаривалось, что сообщения пользователя (со всеми прикрепленными файлами!), данные из календаря и адресной книги, а также логины и пароли почтовых аккаунтов (!!!) могут «временно храниться» на серверах Acompli.

P.S. В пятницу в официальном блог-посте директор по программному менеджменту бизнес-направления Microsoft Джим Альков дал понять, что в качестве бета-тестеров Windows 10 будут использоваться... некорпоративные пользователи! Патчи для Enterprise-версий будут выходить через четыре месяца после «гражданских» — после того, как «миллионы инсайдеров и потребителей отточат на себе все внутренние тонкости процесса». 

Комментарии
1
Илья Ананьев
Майкрософт должен теперь подсуетиться и состряпать патч, если не хочет проблем.
СсылкаПожаловаться
Чтобы оставить комментарий, вам нужно авторизоваться.
Обнаружили ошибку? Выделите ее и нажмите Ctrl+Enter.
Hi-Tech Mail.Ru
Apple iPhone 6S 32GB
от35 640руб.
Samsung Galaxy A5 (2016)
от17 700руб.
Apple iPhone 7 32GB
от43 400руб.
Apple iPhone SE 64GB
от30 700руб.
Meizu M3 Note 16GB
от9 490руб.
Xiaomi Redmi 3S Pro 32GB
от9 131руб.
Samsung Galaxy A3 (2016)
от14 000руб.
Samsung Galaxy J2 Prime
от7 986руб.
Samsung Galaxy S7 32GB
от32 500руб.
Подпишитесь на нас
Новости Hi-Tech Mail.Ru