Hopp til navigasjon Hopp til innhold
Microsofts nye epost-app får tyn fra en utvikler som hevder at iOS sin måte å håndtere apper på gjør det vanskelig for Microsoft å oprettholde god nok sikkerhet (Ill.: Microsoft)

Microsofts nye epost-app får sikkerhets-tyn

– Lagrer kontoinformasjon i skyen uten å spørre.

Utvikler René Winkelmeyer hevder sikkerhetsløsningene i Microsofts nye Outlook-app til iOS er alt for dårlig. Mye av problemet skyldes hvordan iOS håndterer apper på.

– Et sikkerhetsproblem for bedriften
Den lekre nye epost-appen fra programvaregiganten fikk mye oppmerksomhet da vi omtalte den torsdag forrige uke.

Men sikkerheten er for dårlig hevder Winkelmeyer fordi Microsoft lagrer passordene til epost-tjenestene du kobler appen mot – det er et problem for bedrifter. Den nye Outlook-appen støtter Exchange, Outlook.com, iCloud, Google og Yahoo!, samt skylagringstjenester.

Brukere som allerede bruker epost i skyen-løsninger på privaten har allerede sagt seg villig til å lagre informasjonen hos selskapene, men for bedrifter som ønsker kontroll og transparent sikkerhet er dette en grunn til å tenke seg om, hevder han.

Samler alt ett sted
Han har også et problem med at personlige kontoer knyttes mot bedrifts-nett:

«Appen har innebygget støtte for OneDrive, Dropbox og Google Drive.

Det betyr at en bruker kan sette opp sin personlige konto inne i appen og dele alle sine epost-vedlegg med disse tjenestene, eller bruk filer fra de samme tjenesten innenfor selskapets epost-konto. Det er et sikkerhetsmareritt.

Det spiller ingen rolle om du bruker en container-løsning som Apples innebygde mur som separerer driftede og ikke-driftede apper. Det samme gjelder for alle typer containere. Kommunikasjonen skjer inne i appen, og det kan ikke du kontrollere.»

Slik fungere appen i bedriften, enkelt forklart
Appen fungerer slik at når Exchange-kontoen er lagret i appen, deretter lagres dataene i skyen.

Microsofts sky-tjeneste kobler seg så til din ActiveSync-server med din ActiveSync-påloggingsinformasjon for å undersøke om det er ny epost.

Utvikleren hevder også at at Microsoft lagrer personlig påloggingsinformasjon uten å spørre.

Og dette med ActiveSync-koblingen får Winkelmeyer til å rope varsku:

«Det er et stort problem for de selskapene som ikke ønsker å bruke skyen. Du gir bort påloggingsinformasjonen din, men dette er den eneste måten Microsoft kan gjør det på.

Dette grunnet «restriksjonene» iOS-apper må forholde seg til. Om appen ikke kjører i forgrunnen, kan den ikke holde det gående i mer enn ti minutter.

Så etter ti minutter kan ikke appen koble seg mot serveren for å finne ut om det har kommet ny epost. Det er rett og slett ikke teknisk mulig, men jeg er glad det sparer på batteriet.»

 

Kilder:
{rene.winkelmeyer} – IBM Champion
{rene.winkelmeyer} – IBM Champion

Stikkord: Microsoft, outlook, sikkerhet