- Nye Outlook er et sikkerhetsmareritt
Mange bedrifter kan komme til forby Microsofts nye Outlook-apper for iOS og Android. Sikkerheten holder ikke mål, mener kritikere.
Ikke før har Microsofts nye Outlook-app for iPhone og iPad samt for Android-enheter fått en masse lovord fra mange hold, så slår sikkerhetseksperter alarm.
Appen blir trolig forbudt å bruke i bedrifter som har strenge sikkerhetsregler, hevder ekspertene.
Og problemene skyldes ikke småfeil som kan rettes opp gjennom en oppdatering. Appene har en fundamentalt feilaktig struktur som kan bidra til å eksponere både bruker-id, passord og epostvedlegg på internett, mener kritikerne.
Slo alarm
Det hele startet med at en IBM-utvikler slo alarm via et blogginnlegg der han hevdet at Outlook for iOS og Android har tre alvorlige sikkerhetsfeil. Og dette er i stor grad «designfeil», ikke tilfeldige småfeil eller «bugs» som enkelt kan rettes opp gjennom en feilfiks.
IBM-utvikleren som nå fremstår som varsleren i denne saken, René Winkelmeyer, oppfordrer bedriftene til å nedlegge forbud mot at de ansatte får lov til å bruke de nye appene, med umiddelbar virkning.
Han mener Microsoft har kjørt altfor fort i svingene her. For bare to måneder siden kjøpte Microsoft opp firmaet Acompli og har på kort tid gjort om selskapets epost- og kalenderapp til den nye Outlook for iOS og Android, slik PC World Norge skrev om i går.
Microsoft har ikke gjort stort mer med appene enn å omdøpe dem til Outlook for Android og iOS, skriver Andy Patrizio i et blogginnlegg hos vårt amerikanske søstertidsskrift Network World.
Nettsky-lagring er fy
Det første poenget i Winkelmeyers kritikk er at appene har innebygd mulighet til å bli koblet opp mot skytjenester som OneDrive, Dropbox og Google Drive med omtrent bare et klikk.
Dette innebærer at en bruker enkelt kan koble appen til sitt personlige lagringssted i skyen og dele eller lagre vedlegg fra sine bedrifts-epostmeldinger der. I tillegg kan vedkommende enkelt legge ved personlige filer på epostmeldinger knyttet til bedriftens virksomhet.
Apples innebygd sandbox-atskillelse mellom appene gir ingen beskyttelse her, i og med at kommunikasjonen er et internt app-anliggende og derfor ikke lar seg kontrollere, hevder IBM-utvikleren.
Samme ID overalt
Det andre punktet i kritikken hans er at alle enheter som en bruker anvender til Outlook for iOS eller Android, gis samme bruker-id. ActiveSync har vanligvis en separat id for synkroniseringen av hver enkelt enhet. Men slik er det ikke her.
Hvis en direktør glemmer iPad-en sin i taxien, greier ikke systemet å skjelne mellom iPad-en og direktørens iPhone. En eventuell fjernsletting vil slette all epost og alle epostvedlegg på begge enheter.
Et sikkerhetsmessig mareritt, heter det på bloggen til IBM-utvikleren.
Epost-personalia i skyen
Det tredje punktet i kritikken er at Outlook for iOS vil lagre brukerens epost-personalia i skyen. Dette ble avdekket da Outlook ville sende IBM-utvikleren push-meldinger, noe som vanligvis trigges av en server et eller annet sted.
Serverloggene avslørte at kontoen var blitt sjekket via en ip-adresse knyttet til Amazon Web Service-tjenesten uten brukerens tillatelse.
Tilbake til utvikler-benken
IBM-utviklerens råd til bedriftene er altså at den nye Outlook-appen bør blokkeres på epost-serverne til bedrifter som ønsker å bevare sikkerheten. I tillegg må medarbeiderne advares mot å bruke appen.
Blogginnlegget har naturligvis skap bruduljer på nettet, og varsleren har etterpå lagt ut en oppdatering der han forteller at det finnes noen omveier man kan gå for å sikre eposten, men at disse løsningen neppe er verdt bryderiet.
Oppfordringen til Microsoft er derfor å ta Outlook-appen tilbake til utviklingsavdelingen og sørge for at den blir omarbeidet grundig.
