Security

Security problemen Microsoft Outlook app voor iOS en Android

Peter Peters

februari 2015

Inleiding

Microsoft heeft onlangs een nieuwe Outlook app uitgebracht voor zowel iOS als Android. Die app was ontwikkeld door een externe partij die vervolgens door Microsoft is overgenomen. De functionaliteit van die app is in strijd met het beleid van de Universiteit Twente en een gevaar voor de integriteit van de gegevens op de Exchange servers.

Dit betreft alleen de nieuwe "Outlook voor iOS" en "Outlook voor Android" apps van Microsoft. Dit geldt dus niet voor de standaard mail apps op die platformen, de oude OWA app van Microsoft of voor OWA via de browser. Deze manieren om e-mail te lezen en de agenda bij te houden leveren geen problemen op.

Inloggegevens

De app vraagt om inloggegevens voor de Exchange server van de universiteit. Dat is gebruikelijk voor een e-mail app. Die app gebruikt dat om in te loggen op Exchange en daar rechtstreeks e-mail en afspraken op te halen. In dit geval worden de inloggegevens echter doorgegeven aan een server van Microsoft. Die server gebruikt die gegevens vervolgens om in te loggen op de Exchange om e-mail en afspraken op te halen.

Opslag e-mail

De externe server maakt een kopie van de opgehaalde e-mail en afspraken.De gegevens worden geindexeeerd en vervolgens doorgestuurd naar de app. De server blijft constant inloggen op de Exchange server om nieuwe e-mail berichten en afspraken op te halen, te indexeren en door te geven aan de app.

Overwegingen

Het verstrekken van inloggegevens aan een derde partij is een gevaar voor de veiligheid van de Exchange servers. Omdat dezelfde gegevens toegang bieden tot veel meer dan alleen e-mail, betekent dat ook een gevaar voor de vertrouwelijkheid en integriteit van gegevens in andere omgevingen op de universiteit.

Daarnaast heeft de universiteit ervoor gekozen om e-mail van medewerkers niet in de cloud op te slaan. Deze app handelt tegen dit besluit door dat wel te doen.

Actieplan

De IT Security Manager heeft, na ruggespraak met het MT van ICTS, besloten acties te starten om gebruik van deze app i.cm. de servers van de universiteit onmogelijk te maken.

Die acties zijn als volgt:

1.

Voorlichting over de maatregelen via de ICTS website. Gereed

2.

Voorlichting aan de ICT contactpersonen. Gereed

3.

Voorlichting aan de gebruikers van de app, inclusief te nemen stappen om de gegevens van de externe servers te verwijderen. Loopt

4.

Blokkeren van toegang tot Exchange voor die servers en op die manier voor de app. Volgt

Advies aan eindgebruiker

Als je deze app hebt gebruikt voor toegang tot Exchange van de universiteit, verwijder dan niet direct de app. De server van Microsoft zal dan nog steeds de e-mail en afspraken bewaren. De server blijft ook nog steeds inloggen op Exchange en haalt nieuwe e-mail en afspraken op. Als je je wachtwoord wijzigt, zal de server blijven proberen in te loggen met het oude wachtwoord. Dat kan ervoor zorgen dat het account geblokkeerd word vanwege een te groot aantal onjuiste inlogpogingen. Als je gebruik van de app wilt stoppen, verwijder dan eerst ieder account dat je er in hebt ingesteld. Dat verwijdert alle gegevens uit de app en van de externe server. Daarna kan de app van je telefoon of tablet verwijderd worden.

Wijzig het wachtwoord van je ICTaccount. Omdat dat bij derden bekend is geworden, is het niet meer zo betrouwbaar als gewenst.