Android-Outlook-App verrät Nutzerdaten

Outlook.com für Android von Microsoft hat laut der Sicherheitsfirma Include Security eine Schwachstelle. Unbefugte könnten sich demnach Zugang zu vertraulichen Informationen verschaffen. Betroffen sind offenbar Nutzer, auf deren Geräten Android 4.3 und früher läuft.

Der Pincode schützt lediglich die Outlook-App, nicht jedoch die gespeicherten Mails. Screenshot: ZDNet.de

Die App für Microsofts E-Mail-Dienst legt Dateianhänge in der Voreinstellung in einem Ordner auf der SD-Karte ab, der von allen Programmen gelesen werden kann, die über die Berechtigung “READ_EXTERNAL_STORAGE” verfügen. Android 4.4 bietet die Möglichkeit, private Ordner auf der SD-Karte zu erstellen, die nur für die jeweilige App lesbar sind. Älteren Android-Versionen fehlt diese Funktion jedoch, weswegen die Anhänge unter Android 4.3 und früher nicht geschützt sind.

Darüber hinaus kritisiert Include Security die PIN-Funktion der Outlook.com-App. Nutzer können die Anwendung mit einem mehrstelligen Zahlencode schützen, was den Eindruck erwecke, E-Mails seien dann verschlüsselt. Allerdings verhindert die PIN nur einen unbefugten Zugriff auf die App.

Die PIN-Sperre ist ab Werk ausgeschaltet. Sie kann über das Zahnrad-Symbol im Menü aktiviert werden. Dort heißt es dann: “Zum Schutz Ihrer E-Mails erstellen Sie bitte einen Pincode”, was laut Include Security irreführend ist, weil die Nachrichten an sich nicht geschützt seien. Vielmehr könne jeder mit Zugriff auf ein Android-Gerät mit austauschbarer SD-Karte alle gespeicherten Daten lesen. Andernfalls sei dies nur bei aktiviertem USB-Debugging möglich – einer Zusatzeinstellung, die nur im Entwicklermodus von Android zur Verfügung steht.

Include Security verweist auch auf andere Apps mit ähnlichen Problemen. Ein Beispiel ist die Mail-App unter iOS 7, die selbst dann nicht in der Lage ist, auf einem iPhone oder iPad gespeichert Dateianhänge zu verschlüsseln, wenn die Verschlüsselung für alle Inhalte eingeschaltet wurde.

Ein Microsoft-Sprecher verwies auf Nachfrage von ZDNet USA auf die Android-Sandbox, in der alle Apps ausgeführt würden und die die Daten eines Nutzers schütze. Darüber hinaus empfiehlt es Kunden, die mehr Sicherheit benötigen, die SD-Karte zu verschlüsseln. Auch Include Security erwähnt diese Funktion, die sich in den Einstellungen unter dem Punkt “Sicherheit” findet.

[mit Material von Stefan Beiersmann, ZDNet.de]

Wie gut kennen Sie Android? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Redaktion

Recent Posts

IT 2025: IT-Führungskräfte erwarten massiven KI-Ruck

Einsatz von KI-Lösungen wirbelt auch in deutschen Unternehmen die Liste der Top-Technologieanbieter durcheinander.

19 Stunden ago

Sofortzahlungen im Wandel: Sicherheit und KI als treibende Kräfte

Echtzeitüberweisungen erfüllen die Erwartungen der Nutzer an Geschwindigkeit, sind jedoch anfällig für spezifische Sicherheits- und…

22 Stunden ago

Blockaden und Risiken bei APM-Projekten vermeiden

Application Portfolio Management (APM) verspricht Transparenz, mehr IT-Leistung und Effizienz – theoretisch.

3 Tagen ago

BSI-Bericht: Sicherheitslage im Cyberraum bleibt angespannt

Im Berichtszeitraum Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt.

4 Tagen ago

KI-Hype in der Cybersicherheit – oder besser doch nicht?

KI kommt in der Cybersicherheit zum Einsatz, etwa um Abweichungen im Netzwerkverkehr zu identifizieren. Ist…

4 Tagen ago

Netzwerksegementierung schützt vor Angriffen über die OT

Ungepatchte und veraltetete Maschinen-Software ist ein beliebtes Einfallstor für Hacker, warnt Nils Ullmann von Zscaler…

5 Tagen ago