Ένας προγραμματιστής λογισμικού έχει αναλύσει τον τρόπο που το πρόσφατο Microsoft Outlook για iOS, λειτουργεί και ανακάλυψε ότι δε χρησιμοποιεί τις βέλτιστες πρακτικές ασφαλείας, παρουσιάζοντας σοβαρό κίνδυνο εάν χρησιμοποιείται για εταιρικά e-mail.
Ο κίνδυνος ελλοχεύει ανεξάρτητα από το διακομιστή ηλεκτρονικού ταχυδρομείου που χρησιμοποιείται για τη διαχείριση των μηνυμάτων, και αυτό μπορεί να οδηγήσει σε διαρροή πληροφοριών των επιχειρήσεων.
Ο developer René Winkelmeyer, παρουσίασε διάφορα αδύνατα σημεία επισημαίνοντας, ότι το χειρότερο όλων είναι ο λογαριασμός της Microsoft για το ηλεκτρονικό της κατάστημα που χρησιμοποιείται για τις κοινοποιήσεις push. Αυτές οι ειδοποιήσεις παραδίδονται μέσω ενός απομακρυσμένο διακομιστή που δεν συνδέεται με την εταιρεία, πράγμα που σημαίνει ότι η υπηρεσία πρέπει να έχει πρόσβαση στο περιεχόμενο ηλεκτρονικού ταχυδρομείου.
Ο Winkelmeyer έτρεξε μερικές δοκιμές για τη συσκευή iOS και διαπίστωσε ότι οι ανακοινώσεις push έρχονταν για το ηλεκτρονικό ταχυδρομείο της εταιρείας του ακόμη και με το app να έχει αφαιρεθεί από τον κατάλογο των ενεργών εφαρμογών. Αυτό σημαίνει ότι μια κεντρική υπηρεσία απασχολεί τα διαπιστευτήριά του λογαριασμού ηλεκτρονικού ταχυδρομείου του, ώστε να παρακολουθεί το λογαριασμό και κάνει έλεγχο για νέο περιεχόμενο όπως νέα mail ή κάποια αλλαγή στο ημερολόγιο.
Εκτός από αυτό το πρόβλημα ασφάλειας, ο Winkelmeyer, αναφέρεται επίσης και στη δυνατότητα σύνδεσης του app με τις υπηρεσίες αποθήκευσης cloud όπως το OneDrive, το Dropbox και Google Drive.Η απειλή εδώ θα ήταν ότι ο χρήστης θα μπορούσε να συνδέσει το προσωπικό του cloud στο Microsoft Outlook app που χρησιμοποιεί για τη δουλειά του και θα είναι σε θέση να μοιραστεί τα αρχεία μεταξύ των δύο υπηρεσιών, εκθέτοντας έτσι την εταιρεία σε περιττούς κινδύνους.
Ένα άλλο πρόβλημα είναι ότι το Microsoft Outlook iOS app, χρησιμοποιεί ενιαίο αναγνωριστικό σε όλες τις συσκευές του χρήστη, αποτρέποντας την σωστή διαχείριση των συσκευών. Βασικά, εάν το client έχει εγκατασταθεί σε πολλαπλές συσκευές, φαίνεται σαν να χρησιμοποιείται μόνο σε μία. Ο κίνδυνος είναι ότι μερικές από αυτές μπορεί να είναι για προσωπική χρήση και οι διαχειριστές των εταιρικών accounts μη γνωρίζοντας αυτό, δεν μπορούν να διασφαλίσουν την ασφάλεια των δεδομένων της εταιρείας.
