Die Sicherheitsfirma Include Security hat eine Schwachstelle in Microsofts Outlook.com-App für Android entdeckt. Unbefugte könnten sich demnach Zugang zu vertraulichen Informationen verschaffen. Betroffen sind offenbar Nutzer, auf deren Geräten Android 4.3 und früher läuft.
Die App für Microsofts E-Mail-Dienst legt Dateianhänge in der Voreinstellung in einem Ordner auf der SD-Karte ab, der von allen Programmen gelesen werden kann, die über die Berechtigung „READ_EXTERNAL_STORAGE“ verfügen. Android 4.4 bietet die Möglichkeit, private Ordner auf der SD-Karte zu erstellen, die nur für die jeweilige App lesbar sind. Älteren Android-Versionen fehlt diese Funktion jedoch, weswegen die Anhänge unter Android 4.3 und früher nicht geschützt sind.
Darüber hinaus kritisiert Include Security die PIN-Funktion der Outlook.com-App. Nutzer können die Anwendung mit einem mehrstelligen Zahlencode schützen, was den Eindruck erwecke, E-Mails seien dann verschlüsselt. Allerdings verhindert die PIN nur einen unbefugten Zugriff auf die App.
Die PIN-Sperre ist ab Werk ausgeschaltet. Sie kann über das Zahnrad-Symbol im Menü aktiviert werden. Dort heißt es dann: „Zum Schutz Ihrer E-Mails erstellen Sie bitte einen Pincode“, was laut Include Security irreführend ist, weil die Nachrichten an sich nicht geschützt seien. Vielmehr könne jeder mit Zugriff auf ein Android-Gerät mit austauschbarer SD-Karte alle gespeicherten Daten lesen. Andernfalls sei dies nur bei aktiviertem USB-Debugging möglich – einer Zusatzeinstellung, die nur im Entwicklermodus von Android zur Verfügung steht.
Include Security verweist auch auf andere Apps mit ähnlichen Problemen. Ein Beispiel ist die Mail-App unter iOS 7, die selbst dann nicht in der Lage ist, auf einem iPhone oder iPad gespeichert Dateianhänge zu verschlüsseln, wenn die Verschlüsselung für alle Inhalte eingeschaltet wurde.
Ein Microsoft-Sprecher verwies auf Nachfrage von ZDNet USA auf die Android-Sandbox, in der alle Apps ausgeführt würden und die die Daten eines Nutzers schütze. Darüber hinaus empfiehlt es Kunden, die mehr Sicherheit benötigen, ihre SD-Karte zu verschlüsseln. Auch Include Security erwähnt diese Funktion, die sich in den Einstellungen unter dem Punkt „Sicherheit“ findet.
[mit Material von Larry Seltzer, ZDNet.com]
Tipp: Sind Sie ein Android-Kenner? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Check Point warnt vor offener Schwachstelle, die derzeit von Hackern für Phishing ausgenutzt wird.
Video-Babyphones sind ebenfalls betroffen. Cyberkriminelle nehmen vermehrt IoT-Hardware ins Visier.
Der Downloader hat hierzulande im April einen Anteil von 18,58 Prozent. Im Bereich Ransomware ist…
Unternehmen greifen von überall aus auf die Cloud und Applikationen zu. Dementsprechend reicht das Burg-Prinzip…
Hacker nutzen eine jetzt gepatchte Schwachstelle im Google-Browser bereits aktiv aus. Die neue Chrome-Version stopft…
Microsoft bietet seit Anfang der Woche einen Patch für die Lücke. Kaspersky-Forscher gehen davon aus,…
