Outlook per iOS in pericolo, scoperti diversi problemi di sicurezza
Brutte notizie per i possessori di iPhone: sono state rilevate almeno tre vulnerabilità di sicurezza che interessano Outlook per iOS di Microsoft.
del 12/02/15 - di Alessandro Elia
Qualche giorno fa, Microsoft ha lanciato Outlook per iOS, offrendo una versione iniziale anche per Android. Un passo in avanti decisivo rispetto alla produttività su questi dispositivi ma che potrebbe nascondere putroppo alcune vulnerabilità di sicurezza.
Outlook per iOS in pericolo
Abbiamo seguito con interesse il lancio della nuova app assieme alla già menzionata versione Beta per Android. Ebbene ecco che possiamo confermare che ci sarebbero delle falle di sicurezza importanti che andiamo ad analizzare.
Da un lato possiamo dire che l'interfaccia utente e le opzioni di integrazione di diversi servizi sono stati migliorati, così come nell'estetica. Ciò nonostante sono apparsi degli errori nel momento in cui abbiamo usato la app.
Ci sono problemi a livello di calendario e, come se non bastasse, uno dei sviluppatori di IBM, René Winkelmeyer ha rilevato ulteriori problemi, arrivando ad affermare che:
"Microsoft Outlook per iOS potrebbe mettere in pericolo la sicurezza di un'azienda".
Dal suo punto di vista, la funzionalità di iOS che permette di connettersi a servizi di scambio file a livello di cloud (Dropbox, Google Drive, One Drive...) rappresenterebbero un serio problema.
Problemi con le app di Microsoft
Microsoft dovrà intervenireMolte soluzioni MDM e di sicurezza si basano nell'isolamento delle app. In altre parole, le app aziendali vengono lanciate in ambienti sicuri (tipo Sandbox) però con la modalità con cui Microsoft ha impacchettato Outlook per iOS, l'azienda di Redmond ha lasciato aperta una falla verso il cloud.
ActiveSync
Inoltre tutti sanno che per realizzare la sincronizzazione con ActiveSync, si assegna un ID a ogni utente (o client): in questo caso invece Outlook per iOS in automatico fa funzionare tutti i dispositivi dello stesso utente aprendo brecce un pò dappertutto.
Se un utente quindi possiede un dispositivo autorizzato dall'azienda, con Outlook per iOS installato, potrebbe installare lo stesso programma su un altro terminale non approvato e connettersi al server di ActiveSync.
Un ultimo errore, forse il più importante: quando aggiungiamo un account utente ad Outlook per iOS, le credenzuiali vengono sincronizzate e salvate sui server di Microsoft. Una conferma che arriva da Winkelmeyer che ha analizzato i LOG dei server in uso.
Problemi per la privacy
Vale la pena ricordare che non parliamo di una piattaforma sviluppata da zero da Microsoft ma che si basa su una app comprata nel 2014 da Acompli.
"Sembrerebbe que questa società, nel momento dello sviluppo della app, non tenne abbastanza in considerazione le problematiche relative alla privacy degli utenti".
Per usare il servizio dobbiamo fornire una email valida: alcune (soprattutto se usiamo Microsoft Exchange) vanno completate con altri dati importanti:
> Nome utente
> Password
> URL del server
> Dominio del server
È evidente quindi che un intervento di Microsoft è assolutamente necessario e dovrà anche essere tempestivo.
Comunicazione Web
Responsabile account:
Alessandro Elia (Redattore)
Contatti e maggiori informazioni
Vedi altre pubblicazioni di questo utente
Responsabile account:
Alessandro Elia (Redattore)
Contatti e maggiori informazioniVedi altre pubblicazioni di questo utente