outlook
outlook

Outlook: Microsoft greift bei der App die Anmeldedaten ab

Bei der Outlook-App werden beim Anlegen eines IMAP-Accounts alle Anmeldedaten an einen externen Server des Herstellers Microsoft übertragen.

Bei der offiziellen Outlook-App werden beim Anlegen eines IMAP-Accounts alle Anmeldedaten an einen externen Server des Herstellers Microsoft übertragen. Dies bestätigt der Karlsruher Penetrationstester Mike Kuketz auf seinem Blog. Stellt sich nur die Frage, warum Microsoft gleich mehrfach Zugriff haben will.

MS verbindet sich automatisch mit den eigenen Servern

Kurz notiert: Microsoft schickt eine Kopie der Anmeldedaten an die eigenen Server, sobald man bei der Outlook-App einen neuen IMAP-Account anlegt. Dies bestätigt Microsoft im Hilfezentrum für Android- und iOS-Nutzer. Übertragen werden der Username, das Passwort und ein AES-128 Geräteschlüssel. Microsoft überträgt die Daten mittels einer TLS-verschlüsselten Verbindung an den hauseigenen Outlook Cloud Server. In den Serverlogs seines IMAP-Servers konnte Mike Kuketz feststellen, dass sich IP-Adressen aus dem Microsoft IP-Bereich mit seinen gültigen Zugangsdaten angemeldet haben, um die Daten zu synchronisieren. Der Penetrationstester aus Karlsruhe konnte schon häufiger feststellen, dass Apps und andere Programme mehr als nötig Daten ausgeplaudert haben.

Im O.-Ton heißt es im Hilfezentrum:

„When a user logs onto Exchange with Basic authentication, the username, password, and a unique AES-128 device key are sent from the user’s device to the Outlook cloud service over a TLS connection, where the device key is held in runtime compute memory. After verifying the password with the Exchange server, the Outlook service uses the device key to encrypt the password, and the encrypted password is then stored in the service. The device key, meanwhile, is wiped from memory and never stored in the Outlook service (the key is only stored on the user’s device).“

Outlook-Daten bei Microsoft hinterlegt, was soll dabei schief gehen?

Kuketz kommentiert den Vorgang wie folgt: „Ich denke, mit diesem Verhalten der Outlook App, gebührt Microsoft ein Platz auf ihrer Liste von spionierenden E-Mail-Apps.“ Er persönlich würde es nicht wollen, das Microsoft gleich mehrfach Zugriff auf die Zugangsdaten der Nutzer erhält.

Den Mechanismus will der Hersteller zwar in Zukunft ändern. An der Problematik dieser Vorgehensweise (dem Datenschutz-GAU) wird sich dadurch aber nichts ändern. „Anmeldedaten in der Cloud bei Microsoft – was kann da schon schief gehen?„, hinterfragt Kuketz. Tja, was nur?

Beitragsbild: Microsoft-Niederlassung in Köln. Foto: Lars Sobiraj.

Tarnkappe.info

Lars Sobiraj

Über

Lars Sobiraj fing im Jahr 2000 an, als Quereinsteiger für verschiedene Computerzeitschriften tätig zu sein. 2006 kamen neben gulli.com noch zahlreiche andere Online-Magazine dazu. Er ist der Gründer von Tarnkappe.info. Außerdem brachte Ghandy, wie er sich in der Szene nennt, seit 2014 an verschiedenen Hochschulen und Fortbildungseinrichtungen den Teilnehmern bei, wie das Internet funktioniert.