Android-Outlook-App verrät Nutzerdaten

Outlook.com für Android von Microsoft hat laut der Sicherheitsfirma Include Security eine Schwachstelle. Unbefugte könnten sich demnach Zugang zu vertraulichen Informationen verschaffen. Betroffen sind offenbar Nutzer, auf deren Geräten Android 4.3 und früher läuft.

Der Pincode schützt lediglich die Outlook-App, nicht jedoch die gespeicherten Mails. Screenshot: ZDNet.de

Die App für Microsofts E-Mail-Dienst legt Dateianhänge in der Voreinstellung in einem Ordner auf der SD-Karte ab, der von allen Programmen gelesen werden kann, die über die Berechtigung “READ_EXTERNAL_STORAGE” verfügen. Android 4.4 bietet die Möglichkeit, private Ordner auf der SD-Karte zu erstellen, die nur für die jeweilige App lesbar sind. Älteren Android-Versionen fehlt diese Funktion jedoch, weswegen die Anhänge unter Android 4.3 und früher nicht geschützt sind.

Darüber hinaus kritisiert Include Security die PIN-Funktion der Outlook.com-App. Nutzer können die Anwendung mit einem mehrstelligen Zahlencode schützen, was den Eindruck erwecke, E-Mails seien dann verschlüsselt. Allerdings verhindert die PIN nur einen unbefugten Zugriff auf die App.

Die PIN-Sperre ist ab Werk ausgeschaltet. Sie kann über das Zahnrad-Symbol im Menü aktiviert werden. Dort heißt es dann: “Zum Schutz Ihrer E-Mails erstellen Sie bitte einen Pincode”, was laut Include Security irreführend ist, weil die Nachrichten an sich nicht geschützt seien. Vielmehr könne jeder mit Zugriff auf ein Android-Gerät mit austauschbarer SD-Karte alle gespeicherten Daten lesen. Andernfalls sei dies nur bei aktiviertem USB-Debugging möglich – einer Zusatzeinstellung, die nur im Entwicklermodus von Android zur Verfügung steht.

Include Security verweist auch auf andere Apps mit ähnlichen Problemen. Ein Beispiel ist die Mail-App unter iOS 7, die selbst dann nicht in der Lage ist, auf einem iPhone oder iPad gespeichert Dateianhänge zu verschlüsseln, wenn die Verschlüsselung für alle Inhalte eingeschaltet wurde.

Ein Microsoft-Sprecher verwies auf Nachfrage von ZDNet USA auf die Android-Sandbox, in der alle Apps ausgeführt würden und die die Daten eines Nutzers schütze. Darüber hinaus empfiehlt es Kunden, die mehr Sicherheit benötigen, die SD-Karte zu verschlüsseln. Auch Include Security erwähnt diese Funktion, die sich in den Einstellungen unter dem Punkt “Sicherheit” findet.

[mit Material von Stefan Beiersmann, ZDNet.de]

Wie gut kennen Sie Android? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Martin Schindler

Martin Schindler schreibt nicht nur über die SAPs und IBMs dieser Welt, sondern hat auch eine Schwäche für ungewöhnliche und unterhaltsame Themen aus der Welt der IT.

Recent Posts

We siegt im Kampf um IT-Talente: Tech-Riesen oder kleinere IT-Unternehmen?

Freiraum und persönliche Arbeitsatmosphäre sind ausschlaggebend für Jobwechsel hin zu kleineren Unternehmen.

10 Stunden ago

Hybride Cloud-Lösungen: IT-Dienstleister wittern Morgenluft

Wachsende Automatisierungsmöglichkeiten und der Rückgriff auf Colocation-Provider geben Managed-Services- und Managed-Hosting-Anbietern neue Marktchancen.

11 Stunden ago

5G Campusnetz für TIP Innovationspark Nordheide

5G eröffnet Unternehmen und Forschungspartnern breites Spektrum verschiedener Anwendungen.

12 Stunden ago

Amazon kauft iRobot für 1,7 Milliarden Dollar

Der Hersteller von Saugrobotern verstärkt Amazons Smart-Home-Sparte. iRobot-CEO Cling Angle behält seinen Posten.

16 Stunden ago

Digital Employee Experience: So wird das „neue Normal“ nicht zur „neuen Qual“

Mitarbeitende haben hohe Erwartungen an hybrides Arbeiten. Welche Strategie für Zufriedenheit sorgt, erläutert Christoph Harvey,…

1 Tag ago

CISA und ASCS veröffentlichen die wichtigsten Malware-Varianten in 2021

Zu den wichtigsten Malware-Stämmen zählen Remote-Access-Trojaner (RATs), Banking-Trojaner, Info Stealer und Ransomware.

1 Tag ago