Outlook-App für Android verrät Anwenderdaten auf SD-Karte
Das Sicherheitsunternehmen Include Security hat eine Schachstelle in Microsofts Outlook.com-App für Android gefunden. Dritte könnten sich demzufolge Zugriff auf vertrauliche Daten verschaffen. Betroffen sind offenbar Anwender, auf deren Mobilgeräten Android 4.3 und früher läuft.
Die Applikation für den E-Mail-Dienst von Microsoft legt Dateianhänge in der Voreinstellung in einem Ordner auf der SD-Karte ab. Dieser kann von allen Programmen gelesen werden, die über die entsprechende Berechtigung “READ_EXTERNAL_STORAGE” verfügen.
Android 4.4 offeriert die Möglichkeit, private Ordner auf der SD-Karte zu erzeugen, die nur für die jeweilige App lesbar sind. Älteren Android-Varianten fehlt diese Funktion hingegen, sodass die Anhänge unter Android 4.3 und früheren Versionen nicht geschützt sind.
Include Security bemängelt zudem die PIN-Funktion der Outlook.com-App. Anwender können die Applikation mit einem mehrstelligen Zahlencode schützen. Dies erweckt den Sicherheitsforschern zufolge den irrtümlichen Eindruck, die E-Mails seien dann verschlüsselt. Die PIN verhindert jedoch lediglich einen unbefugten Zugriff auf die App.
Die PIN-Sperre ist standardmäßig deaktiviert. Über das Zahnradsymbol im Menü kann sie eingeschaltet werden. Dort heißt es dann: “Zum Schutz Ihrer E-Mails erstellen Sie bitte einen PIN-Code”. Das ist laut Include Security irreführend, da die Mails an sich nicht geschützt seien. Vielmehr könne jeder, der Zugriff auf ein Android-Mobilgerät mit austauschbarer SD-Karte hat, alle gespeicherten Daten lesen. Ansonsten sei dies nur bei aktiviertem USB-Debugging möglich – einer Zusatzeinstellung, die nur im Entwicklermodus von Android verfügbar ist.
Include Security verweist zudem auf andere Apps mit ähnlichen Problemen. Ein Beispiel ist die Mail-App unter iOS 7, die selbst dann nicht in der Lage ist, auf einem iPhone oder iPad gespeicherte Dateianhänge zu chiffrieren, wenn die Verschlüsselung für alle Inhalte aktiviert wurde.
Ein Microsoft-Sprecher verwies auf Nachfrage der US-Ausgabe unserer Schwestersite ZDNet auf die Android-Sandbox, in der sämtliche Apps ausgeführt würden und die die Daten eines Nutzers bereits schütze. Darüber hinaus empfiehlt er Kunden, die ein höheres Sicherheitsbedürfnis haben, ihre SD-Karte zu verschlüsseln. Auch Include Security erwähnt diese Funktion, die sich in den Einstellungen unter dem Punkt “Sicherheit” befindet.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de