Big boffin Azul Rene Winkelwyer tomou visam app do iOS Microsoft Outlook, lançado durante a noite, alegando que armazena credenciais na nuvem potencialmente mesmo depois de excluir as solicitações e não observa conhecidas boas práticas de segurança.
O spray contra o House That Built Bill seguido de um exame sobre a forma como os aplicativos <alças notificações push.
Winkelwyer ( muenzpraeger ), desenvolvedor em pontos médios GmbH, disse que a lojas de aplicativos de e-mail do usuário e as credenciais do servidor na nuvem sem que os usuários prontamente informar, o que compromete a segurança corporativa.
"A Microsoft vai começar e armazenar suas credenciais da conta de e-mail na nuvem, se você usar o aplicativo iOS Outlook", Winkelwyer disse em um post .
"O que eu vi foi de tirar o fôlego: A varredura freqüente de um IP AWS na minha conta de email [que] significa Microsoft armazena as minhas credenciais pessoais e dados do servidor em algum lugar na nuvem.
"Eles não têm me perguntado, eles apenas digitalizar, então eles têm, em teoria, o pleno acesso ao meu PIM (gerenciamento de informações pessoais) de dados."
Rene Winkelwyer, Twitter.
Microsoft foi contatado para comentar o assunto.
Um atualizado política até agora Microsoft detida consumado, uma aquisição Redmond recente que é responsável pela app iOS, foi desenterrado pelo colega IBM bod Harald Gaerttner e supostamente revelou credenciais armazenadas.
Aqui está o extrato política crítica:
"... O nosso serviço recupera seus e-mails recebidos e enviados de forma segura e empurra-los para o aplicativo em seu dispositivo [e] pode ser temporariamente armazenados e indexados de forma segura, tanto em nossos servidores e localmente no aplicativo em seu dispositivo. Se os seus e-mails têm anexos e pedir para abri-los em nosso aplicativo, o serviço de recupera-los a partir do servidor de correio, de forma segura armazena-los temporariamente em nossos servidores, e os entrega para o aplicativo. "
Outras alegadas falhas de segurança Winkelwyer aponta em seu pós incluem a atribuição de um número de identificação único a todos os dispositivos associados a uma conta, o que significa iThings individuais não podem ser distinguidos.
Ele classificou a capacidade de compartilhar anexos para Dropbox, Google Drive e OneDrive um "pesadelo de segurança", uma vez que significa que o conteúdo pode ser compartilhado para além das fronteiras de negócios.
Credenciais de e-mail corporativo armazenados em caixas de nuvem da Microsoft não descarregue quando os usuários optou por desinstalar o app e excluir dados remotos, o dev alegou, enquanto alguns usuários comentar em seu blog com credenciais teorias também podem ser armazenadas em cache em dispositivos.
Contas também pode ser apagada por e-mail de apoio.
"O único conselho que posso dar-lhe nesta fase é: bloquear o aplicativo acesse suas empresas [sic] servidores de email e informar seus usuários que eles não devem usar o aplicativo."
O post de Winkelwye também menciona o modo como a IBM faz segurança de e-mail em seus produtos próprias notas. Então ele não é totalmente independente. No entanto, seu post parece apontar falhas ao invés de base no Outlook para iOS abordagem "para a segurança.
Nós vamos atualizar esta história, se a Microsoft responde às nossas perguntas. ®
Nenhum comentário:
Postar um comentário