Sicherheitsrisiko

Outlook-App sendet Mail-Logins an Microsoft

von - 30.01.2015
Outllok App Symbol mit Warnung
Die neue Outlook-App leitet Login-Daten eingerichteter E-Mail-Konten ungefragt an Microsoft weiter. Die Microsoft-Server scannen dann auch ohne aktivierte App die hinterlegten E-Mail-Server.
Die gestern vorgestellte Outlook-App geht mit den Zugangsdaten eingerichteter E-Mail-Konten nicht vertraulich um, sondern speichert diese auf Microsoft-Servern, behauptet der Sicherheitsforscher René Winkelmeyer.
Bilderstrecke
7 Bilder
Outlook App Konto hinzufügen
Android Outlook App Verzeichnis
Outlook App Wisch Swipe Gesten
Android Outlook App Inbox

E-Mail Client für Android :

Die Funktionen der Outlook-App

>>
Seine Begründung: Die Outlook-App stellt keine direkte Verbindung zum jeweiligen E-Mail-Server her, sondern leitet ein- und ausgehende Nachrichten über eigene Microsoft-Server weiter. Diese nutzen daraufhin den Benutzernamen und das Passwort, um die hinterlegten E-Mail-Konten nach neuen Nachrichten abzufragen und dann Push-Benachrichtigungen an den Nutzer zu senden – unabhängig davon, ob die App auf Smartphone, Tablet oder Desktop-PCs überhaupt aktiv ist, um die Abfrage einzuleiten, so Winkelmeyers Dokumentation.
Outlook App Einstellungen
Outlook-App: In den Kontoeinstellungen der App lässt sich das Outlook-Konto vom Remote-Gerät wieder entfernen.
Diese Art der Verbindung ist zwar nicht neu und steht so auch in den Nutzungsbedingungen der App, allerdings liest sich diese erstens kaum jemand durch und zweitens erwartet man dieses Verhalten nicht als Standardeinstellung von einer E-Mail-App eines namhaften Herstellers. Der Grund für die Vorgehensweise dürfte sein, dass die App nur indirekt von Microsoft stammt. Der Konzern hatte jüngst die Firma Acompli übernommen, die wohl die Konzeption der Outlook-App und somit auch deren Funktionsweise entwickelt hatte.
Wer den Microsoft-Servern die Login-Daten für seine E-Mail-Konten nicht übergeben will, muss allerdings mehr tun als die App einfach zu löschen. Vorab muss eine spezielle Einstellung in der App aktiviert werden: Dazu klickt man in den Kontoeinstellungen der App auf das eingerichtete E-Mail-Konto und scrollt im neuen Fenster ganz nach unten. Dort tippt man anschließend auf "Konto vom Handy und Remote-Geräte entfernen". Sofern mehrere E-Mail-Konten eingerichtet wurden, muss dieser Schritt für alle Weiteren ebenfalls durchgeführt werden.
Gmail-Konten sind übrigens nicht so stark betroffen, da Google die Authorisierungsmethode OAuth nutzt, bei der das Passwort nicht übergeben wird.
Verwandte Themen