Schwerwiegende Sicherheitsmängel in der Microsoft Outlook App für Android und iOS

Diese Hinweise gelten grundsätzlich auch für das neue Outlook.

Die Microsoft Outlook App für Android und iOS (ursprünglich von der Fa. Acompli), welche im Januar 2015 für das Betriebssystem iOS und Android veröffentlicht wurde, hat schwerwiegende Sicherheitsmängel.

Die App gewährt Microsoft Cloud-Diensten vollen Zugriff auf die Daten Ihrer Exchange-Mailbox.

Das ITMZ rät dringend von der Verwendung der Software ab, um den Datenschutz und die Vertraulichkeit der Anwender zu gewährleisten. 

Bitte sehen Sie von der Installation dieser Software ab. Falls Sie diese Anwendung bereits für Ihre Mail nutzen, löschen Sie bitte Microsoft Outlook auf Ihrem mobilen Endgerät. Anschließend sollten Sie Ihr Passwort ändern. 

 Vielen Dank im Voraus für Ihr Verständnis und Ihre Zusammenarbeit. 

FAQ

1. Worin besteht der Unterschied zwischen Outlook für iOS/Android und anderen Apps wie z.B. der Gmail App oder der Apple Mail App?

Outlook für iOS und Outlook für Android sind cloud-basiert und synchronisieren Postfachdaten von eingebundenen Mailkonten zwischen dem Mailsystem des Mailkontos und der Microsoft-Cloud.

Apps wie z.B. die Gmail App oder die Apple Mail App synchronisieren Postfachdaten von eingebundenen Mailkonten zwischen dem Mailsystem des Mailkontos und dem mobilen Endgerät.

2. Was geschieht mit Passwörtern die in Outlook für iOS oder Outlook für Android gespeichert werden?

Aus

https://learn.microsoft.com/en-us/exchange/clients/outlook-for-ios-and-android/passwords-and-security?view=exchserver-2019

„The first time the Outlook app for iOS and Android is run in an Exchange on-premises environment, Outlook generates a random AES-128 key. This key is known as the device key and is stored only on the user's device.
When a user logs onto Exchange with Basic authentication, the username, password, and a unique AES-128 device key are sent from the user's device to the Outlook cloud service over a TLS connection, where the device key is held in runtime compute memory.
After verifying the password with the Exchange server, the Microsoft 365 or Office 365-based architecture uses the device key to encrypt the password, and the encrypted password is then stored in the service. The device key, meanwhile, is wiped from memory and never stored in the Microsoft 365 or Office 365-based architecture (the key is only stored on the user's device).
Next, when a user attempts to connect to Exchange to retrieve mailbox data, the device key is again passed from the device to the Microsoft 365 or Office 365-based architecture over a TLS-secured connection, where it is used to decrypt the password in runtime compute memory. Once decrypted, the password is never stored in the service or written to a local storage disk, and the device key is once again wiped from memory.„

Zusammenfassung:  

Das Nutzerpasswort wird in Klartext in die Microsoft-Cloud übertragen, anschließend mit einem erzeugten Schlüssel in der Microsoft-Cloud verschlüsselt und dann in der Microsoft-Cloud verschlüsselt gespeichert.

Der benutzte Schlüssel wird in der Microsoft-Cloud gelöscht und auf dem mobilen Endgerät des Nutzers gespeichert.

Das Klartextnutzerpasswort befindet im Hauptspeicher der Systeme der Microsoft-Cloud mind. während der Zeitdauer der Outlook-Benutzung durch den Nutzer.

Was wird von Outlook für iOS und Outlook für Android in der Microsoft-Cloud gespeichert?

Aus
https://learn.microsoft.com/en-us/exchange/clients/outlook-for-ios-and-android/use-basic-auth?view=exchserver-2019


Within the Microsoft 365 or Office 365-based architecture, Outlook for iOS and Android utilizes the native Microsoft sync technology for data synchronization that is protected by TLS-secured connections end-to-end, between Microsoft 365 or Office 365 and the app.
The Exchange ActiveSync (EAS) connection between Exchange Online and the on-premises environment enables synchronization of the users´ on-premises data and includes four weeks of email, all calendar data, all contact data, and out-of-office status. The region in which this data is synchronized into depends on the IP address in use by the mobile device at the time synchronization is set up.

Data synchronization between the Exchange on-premises environment and Exchange Online happens independent of user behavior.

Zusammenfassung:

Outlook für iOS und Outlook für Android speichern 4 Wochen der Daten des lokalen Postfaches in der Microsoft-Cloud!

Davon abgesehen, übertragen die Programme Outlook für iOS und Outlook für Android Anmeldedaten (Nutzerkennzeichen und Passwort) in die Microsoft-Cloud!

Denn anders als das klassische Outlook für Windows und Outlook für Mac sind die Mailprogramme Outlook für iOS und Outlook für Android im Prinzip cloud-basierte Mailprogramme, ähnlich wie z.B. die Onlineversion von Outlook (outlook.com), welche ohne Zugriff auf die Microsoft-Cloud nicht nutzbar sind.