Android-Outlook-App verrät Nutzerdaten

Outlook.com (Grafik: Microsoft)

Wer auf einem Android-Gerät die Outlook-App von Microsoft verwendet, läuft Gefahr, dass Unbefugte Nutzerdaten auslesen.

Outlook.com für Android von Microsoft hat laut der Sicherheitsfirma Include Security eine Schwachstelle. Unbefugte könnten sich demnach Zugang zu vertraulichen Informationen verschaffen. Betroffen sind offenbar Nutzer, auf deren Geräten Android 4.3 und früher läuft.

Include Security findet Sicherheitsleck in der Outlook-App für Android.
Der Pincode schützt lediglich die Outlook-App, nicht jedoch die gespeicherten Mails. Screenshot: ZDNet.de

Die App für Microsofts E-Mail-Dienst legt Dateianhänge in der Voreinstellung in einem Ordner auf der SD-Karte ab, der von allen Programmen gelesen werden kann, die über die Berechtigung “READ_EXTERNAL_STORAGE” verfügen. Android 4.4 bietet die Möglichkeit, private Ordner auf der SD-Karte zu erstellen, die nur für die jeweilige App lesbar sind. Älteren Android-Versionen fehlt diese Funktion jedoch, weswegen die Anhänge unter Android 4.3 und früher nicht geschützt sind.

Darüber hinaus kritisiert Include Security die PIN-Funktion der Outlook.com-App. Nutzer können die Anwendung mit einem mehrstelligen Zahlencode schützen, was den Eindruck erwecke, E-Mails seien dann verschlüsselt. Allerdings verhindert die PIN nur einen unbefugten Zugriff auf die App.

Die PIN-Sperre ist ab Werk ausgeschaltet. Sie kann über das Zahnrad-Symbol im Menü aktiviert werden. Dort heißt es dann: “Zum Schutz Ihrer E-Mails erstellen Sie bitte einen Pincode”, was laut Include Security irreführend ist, weil die Nachrichten an sich nicht geschützt seien. Vielmehr könne jeder mit Zugriff auf ein Android-Gerät mit austauschbarer SD-Karte alle gespeicherten Daten lesen. Andernfalls sei dies nur bei aktiviertem USB-Debugging möglich – einer Zusatzeinstellung, die nur im Entwicklermodus von Android zur Verfügung steht.

Include Security verweist auch auf andere Apps mit ähnlichen Problemen. Ein Beispiel ist die Mail-App unter iOS 7, die selbst dann nicht in der Lage ist, auf einem iPhone oder iPad gespeichert Dateianhänge zu verschlüsseln, wenn die Verschlüsselung für alle Inhalte eingeschaltet wurde.

Ein Microsoft-Sprecher verwies auf Nachfrage von ZDNet USA auf die Android-Sandbox, in der alle Apps ausgeführt würden und die die Daten eines Nutzers schütze. Darüber hinaus empfiehlt es Kunden, die mehr Sicherheit benötigen, die SD-Karte zu verschlüsseln. Auch Include Security erwähnt diese Funktion, die sich in den Einstellungen unter dem Punkt “Sicherheit” findet.

[mit Material von Stefan Beiersmann, ZDNet.de]

Wie gut kennen Sie Android? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de