Outlook para iOS y otras apps de Microsoft podrían ser un problema de seguridad

0

Hace algunos días, Microsoft lanzó Outlook para iOS, ofreciendo una versión previa también de Outloook para Android. Aunque por un lado esto ha supuesto un paso adelante en cuanto a productividad, también parece entrañar algunos posibles problemas de seguridad.

Vulnerabilidad en Outlook para iOS

Como tantos otros, estábamos siguiendo con interés el mencionado anuncio, habiendo salido a la luz Outlook para iOS, mientras se ponía a disposición de los usuarios la versión “beta” de Outlook para Android. Por ese motivo decidimos comprobar el funcionamiento de la versión para iPad.

Outlook para iOS

Por un lado, podemos decir que la interfaz de usuario y las opciones de integración de los diversos servicios han supuesto un salto adelante para las apps propietarias Calendario y Correo de Apple. Por otro, hemos comprobado algunos fallos de funcionamiento a la hora de visualizar calendarios suscritos, por lo que abandonamos la app.

Ahora parece haber problemas significativos relacionados e identificados por el desarollador y “campeón” de IBM, René Winkelmeyer. Usando sus propias palabras: “Microsoft Outlook para iOS podría romper la seguridad de tu empresa“.

Desde su punto de vista, la funcionalidad de iOS que permite conectarse a servicios de intercambio de ficheros en la nube: Dropbox, Google Drive y One Drive, suponen un importante problema para la seguridad.

Problemas con las apps móviles de Microsoft

Vulnerabilidad en Outlook para iOSMuchas soluciones de MDM y seguridad basan su protección en la “containerización” o aislamiento de apps. En otras palabras, las apps corporativas se ejecutan en entornos seguros de tipo Sandbox. Pero ocurre una cosa y es que, con la forma en que Microsoft ha enlazado Outlook para iOS a estos servicios de almacenamiento en la nube, Microsoft ha provocado una “ruptura” de muchos sistemas de seguridad de este tipo.

ActiveSync

También se apunta que los clientes ActiveSync poseen normalmente una ID única para sincronización de datos, para que así los administradores distingan entre dispositivos de cada usuario. Outlook para iOS no funciona así, sin embargo: si un usuario instala esta app en su iPad y iPhone, se comparte la misma ID entre todos los dispositivos conectados por ese usuario.

En otras palabras, si un usuario posee un dispositivo autorizado por la empresa con Outlook e iOS, puede instalar Outlook para iOS en un dispositivo no aprobado y conectarse con el servidor ActiveSync.

El último fallo en la cadena es probablemente el más importante. Cuando añadimos nuestras cuentas de usuario en Outlook para iOS, estas credenciales serán sincronizadas / almacenadas en los servidores de Microsoft. Esto ha sido confirmado por Winkelmeyer mediante la revisión de los LOG de los servidores que utiliza.

Outlook para ios

Implicaciones de privacidad

Cabe destacar que no hablamos de una platforma desarrollada desde cero por Microsoft, sino que está basada en una app adquirida por Microsoft en 2014 llamada Acompli. “

Parece, por tanto, que la compañía no consideró relevante examinar las políticas de privacidad de la mencionada app en su momento.

Dicha app requiere que el usuario proporcione una dirección de email para usar el servicio. Algunas cuentas de email (por ejemplo aquellas que usan Microsoft Exchange) también requieren que enviémos nuestras credenciales de acceso al email, incluyendo:

  • Nombre de usuario
  • Contraseña
  • URL del servidor
  • Dominio del servidor

De momento no se han pronunciado al respecto desde Microsoft.

Compartir.

Sobre el Autor

Alejandro es técnico micro-informático, experto en seguridad de las TIC y apasionado de la tecnología. Colabora habitualmente en diferentes publicaciones de seguridad, software y análisis de hardware entusiasta.

Dejar una Respuesta

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR