Leser du jobbmail på mobilen? Da bør både du og arbeidsgiveren din tenke dere om.
Sårbar Outlook
På hackerkonferansen Black Hat kunne nemlig Peter Hannay demonstrere hvor enkelt det er å lure telefoner og nettbrett til å logge seg inn på en falsk Exchange-konto.
Microsoft Exchange er som kjent den mest brukte kalender- og epost-programvaren i bedrifter. Og svært mange bruker Outlook når de skal oppdatere seg på jobben.
Men i det øyeblikket du flytter kontoret ut på mobilen, åpner det seg et vell av muligheter for eventuelle banditter der ute.
Annonse
Ikke så nøye
Ifølge Hannay er ikke Microsoft så nøye på om det såkalte SSL-sertifikatet (Secure Sockets Layer) virkelig er gyldig eller ikke.
Dermed er det mulig å sette opp en falsk Exchange-tjener som man kan lure mobilbrukere inn på.
– Burde si nei
– Den viktigste svakheten ligger i måten klienter på mobile enheter behandler kryptering og sertifikater. Klientene burde isteden si: «Dette sertifikatet stemmer ikke. Ingen av detaljene er riktige. Derfor vil jeg ikke koble meg på», sier Hannay til Ars Technica.
Han brukte bare 40 linjer med Python-kode på å komme seg gjennom SSL-sikkerheten.
Ser på saken
Ironisk nok er SSL-sertifikatene nettopp laget for å avverge slike såkalte «mannen i midten»-angrep. Mobiltelefoner og nettbrett skal bare kunne koble seg til tjeneren dersom sertifikatet på den samme serveren har en gyldig og kryptert nøkkel som forteller at tjeneren er den riktige.
Hannays eksperiment viser at dette ikke alltid er tilfelle.
Microsoft sier at de er orientert om problemet, og at ansatte i deres Exchange-avdeling nå studerer Hannays funn nøye.
Annonse
