Outlook App speichert Passwörter in der Cloud und analysiert Mails

[English]Microsofts Outlook App für Android- und iOS-Geräte scheint nach wie vor ein 'Wolf im Schafspelz' zu sein, denn die App speichert weiter Passwörter in der Cloud und scheint auch Mails zu analysieren. Ein Blog-Leser hat mich auf diesen Sachverhalt hingewiesen, weshalb ich die Informationen hier mal einstelle.


Anzeige

Worum geht es?

Microsoft bietet eine Outlook App für Smartphones unter Android und iOS an. Die App kann auf On-Premises Exchange-Postfächer oder auf Exchange Online zugreifen, um Mails auszutauschen. Für Administratoren ist es wichtig, dass die App bei On-Premises-Lösungen weder Passwörter an unbekannten Orten speichert noch die E-Mails analysiert. Und schon gar nicht geht es, dass ggf. Active Directory-Kennwörter im Klartext an On-Premises-Instanzen übertragen werden.

Rückblick: Outlook-App und Accompli

Wir müssen bis ins Jahr 2015 zurückgehen, um uns an einen speziellen Vorfall zu erinnern. Im Februar 2015 hatte ich im Blog-Beitrag Outlook-App: Im EU-Parlament wegen IT-Sicherheit blockiert eine sicherheitstechnische Bombe beschrieben. Die IT des EU-Parlaments hatte die Outlook-App aus Sicherheitsgründen für eine Verwendung durch Mitglieder und Mitarbeiter des EU-Parlaments gesperrt.

Damals wies ich darauf hin, dass die App ist sicherheitstechnisch nicht so ohne sei und in Firmenumgebungen nicht eingesetzt werden sollte. Im Beitrag Firmen: Finger weg von Microsofts Outlook-App hatte ich deutlich vor der App gewarnt. Hintergrund war, dass die App zwar das Microsoft-Logo trägt, aber von der aufgekauften Firma Acompli stammt. Bei einer Analyse haben Nutzer festgestellt, dass Anmeldedaten, Anhänge und mehr über fremde Server laufen und in der Cloud gespeichert werden. Die heise-Redaktion hatte 2015 den Artikel Microsofts Outlook-App schleust E-Mails über Fremd-Server  zum Thema publiziert.

Das führt in Firmenumgebungen gegebenenfalls zu einem Bruch existierender Datenschutzvorgaben, die das untersagen. Logische Konsequenz: Der IT bleibt nur das Blockieren der App in Unternehmen übrig. Seit 2018 haben wir in Europa die DSGVO, d.h. die IT von Unternehmen müsste sicher sein, dass keine Daten der Outlook-App bei Verwendung mit Exchange On-Premises-Lösungen in der Cloud gespeichert werden.

Weiterhin Datenspeicherung in der Cloud?

Ich hatte Anfang 2021 bereits den Kommentar Outlook für Android speichert weiter Paßwörter in der Cloud von einem Benutzer mit dem Alias Erlenmayr im heise-Forum gelesen, aber noch keine Zeit dem nachzugehen. Der Nutzer schrieb:

Outlook für Android speichert weiter Paßwörter in der Cloud

Tests im Oktober haben ergeben, daß folgendes Verhalten weiterhin gilt. Microsofts Outlook-App schleust E-Mails über Fremd-Server

Es geht hier um eigenen Client und eigene Mailserver, wohlgemerkt! Es geht nicht um Clouddienste a la GMail oder Office365.

Etwas übersetzt: Der verlinkte Artikel stammt aus 2015 und beschreibt das oben skizzierte Verhalten der Outlook-App, die ihre Mails über die Server von Accompli schleuste und dort wohl auch Passwörter speicherte. Dieses Verhalten wäre ein eklatanter Verstoß gegen die DSGVO, da die Daten (E-Mails) über Server in den USA laufen. Das Thema sollte aber eigentlich längst behoben sein – wir sind sechs Jahre weiter und Microsoft hat die Outlook-App für Android und iOS mehrfach überarbeitet. Nun deute ich die Meldung des Benutzers im heise-Forum, dass sich wohl nicht wirklich was geändert hat. Der Benutzer deutet an, dass er das Verhalten bei einem eigenen Client und einem eigenen Mailserver bei der Outlook-App unter Android beobachtet habe.

Ein zweiter Benutzer bestätigt das Verhalten

Zum 8. Januar 2021 erreichte mich eine Mail von Blog-Leser Matti J., der ebenfalls auf den Forenpost des Nutzers Erlenmayr im heise-Forum gestoßen war. Matti J. hat dann einen Test gefahren und kam zu den gleichen unschönen Erkenntnissen. Ich stelle seine Informationen, die er mir per Mail mitteilte, hier als Leserinformation im Blog ein.

Hallo Herr Born,

ich lese schon seit einigen Jahren regelmäßig Ihren Blog. Ich bin selbst seit ca. 13 Jahren als Administrator unterwegs. Erst im UHD, dann als Techniker im Systemhaus und seit 6 Jahren als In-house Admin.

Vor einigen Tagen hatte ich intern eine Doku zum Einrichten der Outlook App für Smartphones herausgegeben, nachdem zuvor die App als „sicher" galt (war ja lange nicht so durch die Infrastruktur durch Accompli).

Just einige Tage später finde ich über Umwege bei Heise (in einem Artikel über die Umgestaltung der Outlook App) den Hinweis, dass die App doch weiter Anmeldedaten in der Cloud behält, auch wenn man einen stinknormalen on-premise Exchange 2010 ohne irgendwelchen Office 365 Firlefanz benutzt. Nach einigen Tests kann ich das auch bestätigen.

Beim heise-Verweis handelt es sich um den obigen Auszug mit den Beobachtungen des Nutzers Erlenmayr. Der  Blog-Leser hatte den Sachverhalt mit einem Kollegen diskutiert. Im Artikel Kennwörter und Sicherheit in Outlook für iOS und Android für Exchange Server beschreibt Microsoft wie die Outlook-App für Android und iOS für Exchange Server einzurichten sei. Dort finden sich viele Informationen bezüglich der App-Sicherheit. Dazu schreibt der Blog-Leser:


Anzeige

In den Einstellungen eines Kontos tauchen diverse Funktionen auf, die nahelegen das MS die Mails doch an seine Server transferiert, oder lokal auf dem Gerät auswertet und dann weiterleitet (glaube ich nicht, das würde ja massiv Akku verbrauchen).

Diese Haken kann man deaktivieren (natürlich erst nachdem man das Konto eingerichtet hat…). Die Krönung ist aber die Tatsache das sogar die Doku von Microsoft gelogen scheint. Dort wird beschrieben das jenes Passwort mit dem Geräteschlüssel des Telefons verschlüsselt wird und der Geräteschlüssel dann gelöscht wird. Nach meinen Tests habe ich den Account aus der App gelöscht und dann die App deinstalliert (mehr als 24h her). Dennoch schicken Microsoft Server (u.a. 52.97.180.61) weiterhin bis heute Requests (Ping Queries) im Minutentakt an meinen Exchange für diesen Testuser. Leider sehe ich aktuell nicht, was der Exchange damit macht, dazu müsste ich mehr loggen.

Auch nimmt sich die App standardmäßig heraus Inhalte zu „analysieren" ohne genauer zu benennen in welchem Umfang und wozu. Werden hier also vielleicht auch alle Mails wieder über Microsofts Cloud synchronisiert und ausgewertet? Man kann den Haken in den Optionen zwar ausschalten, aber erst nach der Einrichtung des Accounts. Ggf. sind dann schon einige Sachen „ausgewertet". Wie oben geschrieben glaube ich nicht, das dies auf dem Gerät passiert, sondern in der Cloud. Das Telefon würde hier viel zu viel Akku verbrauchen.

Im Artikel Kennwörter und Sicherheit in Outlook für iOS und Android für Exchange Server gibt es den Abschnitt Die App ist geschlossen oder wurde deinstalliert, versucht aber immer noch, sich mit meinem Exchange-Server zu verbinden. Wie kann das sein?, der beschreibt, dass eine deinstallierte App immer noch dazu führt, dass Verbindung mit Exchange hergestellt werden. Erklärt möglicherweise die obige Beobachtung.

Eine App aus der Hölle

Ergänzung: Inzwischen finden sich nachfolgend ja einige Kommentare, und Stephan hat dankenswerterweise auf seine Analyse unter verbuecheln.ch/outlook.html (von Okt. 2020) verlinkt. Ich zitiere aus seiner Analyse:

I recently installed the Outlook app for Android and connected it with an Exchange 2019 instance. The Exchange admin told me that there were HTTP requests coming from Microsoft servers (identified by IP address) that authenticate with my name. Further analysis revealed that the requests were authenticated with HTTP Basic Auth with my AD password in clear text.

Die App verwendet eine Basic Auth-Authentifizierung per HTTP und schickt sein AD-Kennwort im Klartext über das Internet an seine Echange-Instanz. Daher kann ich die Outlook Android-App ich nur als 'App aus der Hölle' klassifizieren.

Wenn ich mir das Ganze so anschaue, kann eigentlich kein Administrator in einer Firma die Outlook-App für Android oder iOS guten Gewissens und DSGVO-konform einsetzen.

Damit eröffne ich die Diskussion unter der Leserschaft. Ist das alles hinlänglich bekannt, oder gibt es andere Erkenntnisse?


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

49 Antworten zu Outlook App speichert Passwörter in der Cloud und analysiert Mails

  1. Dat Bundesferkel sagt:

    Dazu sage ich nur:

    "Ein furchtbar schlechtes Programm, das auf Datenschutz keinerlei Wert legt. Passwörter zu E-Mail-Konten werden bei Microsoft direkt zwischengespeichert Der Nachrichtenabruf erfolgt nicht etwa durch die Outlook-App, sondern direkt durch Microsoft (ich betreibe mehrere Mailserver und kann dadurch die zahlreichen Abfragen der MS-Adressen einwandfrei verfolgen). Besonders pikant bei dieser Angelegenheit ist, daß der Abruf von Mails nicht abhängig davon ist, ob man die Outlook-App verwendet. Selbst wenn alle Android-Geräte nebst Outlook-App ausgeschaltet(!) sind, authentifiziert sich Microsoft(!) mit den eigenen Zugangsdaten des persönlichen Mailanbieters (web, gmxt, posteo, etc.) – das bedeutet im Umkehrschluß: Microsoft (Patriot Act!) kann zu jeder Zeit vollumfänglich auf ihm bekannte E-Mail-Konten zugreifen – ohne zutun des Benutzers. Mit einem Löschen der App ist es übrigens nicht getan: Es ist dringend zu empfehlen, sämtliche Passwörter für die jeweiligen Mail-Konten zu ändern und darauf zu hoffen, daß der jeweilige Betreiber der Mailserver diese IP-Adressen von Microsoft sperrt: 13.74.35.225, 13.74.188.248, 13.93.50.206, 52.174.54.107, 52.174.54.198"

    Man beachte das Datum dieser Google Playstore Rezension: 26. Juli 2017. Und schön, daß sich dann Drittparteien – teilweise drei Jahre später – die Entdeckung an die eigene Brust heften (wie Kuketz).

    Zur Vervollständigung: Die genannten IP-Adressen waren die, die zum Zeitpunkt der Rezension via App / Microsoft für den Zugriff auf den Mailserver genutzt wurden. Mitnichten ist die Sammlung vollständig…

    Der Einsatz von Microsoft-Produkten ist nicht DSGVO-konform möglich.

    • Günter Born sagt:

      Danke für die Ergänzung! Ich denke, ich versuche die Infos, die jetzt hier mit rein spielen, im englischsprachigen Blog-Beitrag mit aufzunehmen. Muss mal in mich gehen und ein paar Leute ansprechen, ob wir das nicht noch breiter hin kriegen. Aber heute ist erst erst einmal Sonntag.

  2. Stephan sagt:

    Hallo, hier ist «Erlenmayr». Wir haben das im Oktober bei uns getestet, das Passwort befindet sich im HTTP-Header für Basic Authentication. Danach haben wir die App für alle Mitarbeiter verboten und von den Mitarbeiter, die die App nutzten, Passwortänderung verlangt.

    Zu beachten ist, dass Exchange verschiedene Authentisieurngsmethoden kann. Nicht bei jeder braucht das Client das Passwort. Das Problem hängt also von der konkreten Konfiguration in der Firma ab.

    Ich habe hier auch etwas dazu geschrieben:
    https://verbuecheln.ch/outlook/ (IPv6 only)

    • Stephan sagt:

      Eine Dimension, die hier noch etwas kurz kommt: Es geht nicht nur um Mails.

      In einer typischen Firmenumgebung hat jeder Mitarbeiter einen Account im Active Directory. Mit demselben Passwort meldet er sich bei Windows an, beim Exchange und bei diversen anderen Systemen. Das Passwort erlaubt typischerweise viel mehr als nur Zugriff auf Mails.

    • Quodlibeth sagt:

      Die URL Deiner Webseite geht nicht, es kommt nur

      "Diese Website ist nicht erreichbar"
      DNS_PROBE_FINISHED_NXDOMAIN

    • Tobi S. sagt:

      Bekomme bei dem Link nur "DNS_PROBE_FINISHED_NXDOMAIN" Fehlermeldung mit "Die Website ist nicht erreichbar. Prüfen Sie, ob "verbuecheln.ch" einen Tippfehler enthält." Habe statische IPv4 beim Internetprovider.

      • Dat Bundesferkel sagt:

        Lies Dir doch bitte mal die Kommentare zuvor durch, notfalls verwende den Link von Martin Feuerstein.

        Das oben genannte Angebot ist NUR über IPv6 erreichbar, setzt also im Idealfall eine entsprechende Internetverbindung bei Dir voraus (IPv6 Adresse, IPv6 DNS Server).

        Notfalls kann man 4to6 Protokolle oder Proxys verwenden, dann aber bitte auf keinen Fall vertrauliche Daten übermitteln, weil diese Verbindungen offen wie Schweizer Käse sind.

  3. Gert sagt:

    Bei uns ist Outlook und MS Office sowieso seit ca. 5 Jahren nicht mehr installiert und wir fahren gut damit.
    Kann ich nur empfehlen auch wenn die Umstellung nicht immer ganz einfach ist

  4. 1ST1 sagt:

    Das sieht mir in der Tat wie eine große Schweinerei aus. Die Frage ist jedoch, was kann man als Firma tun? Die Leute wollen ja doch mittels der Outlook-App ihre Firmenmails vom Exchange-Server abrufen. Eine andere Möglichkeit als die Outlook-App hat man da ja nicht, oder?

    Und sobald verfügbar, sollte die angekündigte Outlook-Universal-App für PCs und mobile Geräte hierauf untersucht werden.

    • Matthias sagt:

      @1ST1

      Der iOS eigene Mail Client kann ebenfalls Mails vom Microsoft Exchange Server abrufen. Wie es bei diesem aber um die Daten Sicherheit steht, kann ich allerdings nicht sagen.

      Mit freundlichen Grüßen
      Matthias

      • Mich@ sagt:

        "Der iOS eigene Mail Client kann ebenfalls Mails vom Microsoft Exchange Server abrufen"… setzt voraus das man ein richtiges ssl zert. besitzt. Self sig. cert. funktionieren da nicht..

    • Stefan seidl sagt:

      Grundsätzlich greifen aktuell nur die Apple Mail App, nine email App direkt auf den Exchange Server zu, ALLE anderen leiten die Mails über ihre Server (btw. Holen sie erst via Cloud Server ab und pushen sie dann zum Handy) ab um dem User eine bestmögliche nutzererfahrung bieten zu können. Grrrrr
      Wir sagen zu all unseren Kunde das sie ihre Mitarbeiter darauf hinweisen sollen :(((

  5. boris sagt:

    Die Outlook App wird bei uns seit Jahren mittels Active-Sync Policy blockiert. Es ist aus meiner Sicht erschreckend "wohin" Microsoft sich entwickelt.
    Eigentlich müsste die App auch verboten werden, oder zumindest müsste Microsoft gezwungen werden beim Login ein entsprechenden Hinweis einzubauen, dass Zugangsdaten usw. bei Microsoft gespeichert und Mails "umgeleitet" werden.

  6. Stefan seidl sagt:

    Also ich hatte die ip Adresse der Outlook App ca 1 Jahr nach Vorstellung mal geprüft und da wurde von ams ip Adressen auf meinen Exchange zugegriffen !! :(
    Is wohl nicht besser geworden … red mir aber bei Kunden den Mund fusselig

  7. Anonymous sagt:

    Weiß jemand wie der login bei anderen email apps mit Push-Funktion umgesetzt ist?
    z.B.: die Gmail App (bei Nutzung eines anderen mail (nicht Gmail) Kontos)?

  8. Anonymous sagt:

    Offensichtlich hat der Autor und die Poster die Architektur und Funktionsweise nicht verstanden.

    Die Outlook app ist für den Gebrauch in der Cloud konzipiert worden, die App spricht Kein ACTIVE sync sondern MS sync. Der exchange onprem Server spricht aktiv sync, aber kein MS sync. Das caching löst das Problem, und macht das app auch für onprem Mailboxen nutzbar.

    Auch wenn das App deinstalliert ist, gibt es den cloud Cache noch, daher auch noch Zugriff auf den onprem Server. Der Cache expired von selbst, die Zugriffe hören dann auf.

    Das ist ein technischer workaround nicht mehr, kein Stoff für Verschwörungstheorien. Wer den Cache nicht will, migriert seine Mailbox in exchange online, oder nutzt einen 3rd Party Mail Client

    • Stephan sagt:

      Der Zweck der Sache ist schon klar. Das steht auch in den Artikeln von Heise und Co.

      Das rechtfertigt aber die Vorgehensweise nicht, und vor allem rechtfertigt das nicht, die Benutzer darüber nicht ordentlich zu informieren.

      Mal abgesehen davon sind die «Features», die damit umgesetzt werden, Antifeatures. Ich will gar keine Push-Benachrichtigungen bei Mails, aber wenn ich die abstelle speichern sie trotzdem das Passwort. Ich will erst reicht kein Sortieren von Mails nach Kategorien, die ich mir nicht selbst ausgedacht habe.

    • Günter Born sagt:

      Zu: "Offensichtlich hat der Autor und die Poster die Architektur und Funktionsweise nicht verstanden."

      Danke für die Offenlegung des Sachverhalts – eine Quelle zu Microsoft wäre noch toller gewesen …

      Zur Aussage an sich einige Anmerkungen von meiner Seite:

      Muss ich die Architektur und Funktionsweise verstehen? Nein!

      Ist es das Ziel des Artikels, die Architektur und Funktionsweise einer App offen zu legen, wobei die sich bei einem App-Update jederzeit ändern kann? Nein!

      Zweck der Übung hier war auf einen Sachverhalt hinzuweisen.

      Pflicht Microsofts wäre es gewesen:

      a) auf den Sachverhalt hinzuweisen, und dass man seit Jahren eine Krücke in den Play Store einstellt, ohne deren Sicherheitsprobleme offen zu legen
      b) diese Krücke von App zeitnah auf eine sauber Basis zu stellen, dass dieses Caching nicht erforderlich ist, sondern die App entweder nur mit Exchange Online kommuniziert, oder eine direkte Sychronisierung mit On-Premises-Lösungen möglich ist – oder die App zumindest auf die sicherheitstechnischen Implikationen hinweist. Alles andere ist Victim blaming.

      So wird eine Krücke unters Volk gebracht und kaum jemand ist sich der Problematik bewusst – zeigt mir jedenfalls die Diskussion. Und damit sind Verweise auf 'hättest Du dich mit der Architektur befasst" zwar hilfreich aber am Ende wenig zielführend. Die Information, dass die App im Grunde Müll ist, gehört in die breite Öffentlichkeit – imho.

    • Dat Bundesferkel sagt:

      Das ist ein technischer workaround nicht mehr, kein Stoff für Verschwörungstheorien. Wer den Cache nicht will(…)

      Tut mir leid, aber ein Cache, der noch eine Woche nach deinstallieren der Outlook-App munter auf Mailserver zugreift, ist er ziemlich (neu-)gieriger Cache. Und ändert rein gar nichts an den Vorwürfen. "Verschwörungstheorie" = Fakt.

      Ja, 3rd Party Mail Client wird hier mittlerweile genutzt. AquaMail hat sich bspw. mit seiner Funktionalität positiv hervorgetan. Cached auch keine Zugangsdaten für IMAP auf Fremdsystemen…

      @Günter
      Trotz der "anonymen" Belehrung zur Funktionsweise der App ist Dein Thema mehr als nur gerechtfertigt. Selbst wenn das System nur eine Minute das PW cached (und somit fremdgenutzt werden kann) ist die Funktionsweise für den Popo.
      Man fragt sich ernsthaft: Absicht oder wirklich Unfähigkeit? Ich tippe auf Absicht.

  9. Martin Feuerstein sagt:

    Nun könnte man das HTTP/S-Interface des Exchange nur per VPN erreichbar machen, man könnte auch die Quarantäneregeln für mobile Geräte nutzen oder per MDM für dienstliche Geräte die Outlook-App sperren.

    All das hilft aber nicht dagegen, dass die App auf einem privaten Endgerät installiert wird und die eigenen Zugangsdaten eingegeben werden. Die Authentifizierungsdaten landen bei Microsoft, auch wenn gottseidank die Inhalte nicht abgerufen werden können.

    • Dat Bundesferkel sagt:

      "Die Authentifizierungsdaten landen bei Microsoft(…)"

      Richtig. Und das alleine hat schon biblische Ausmaße. Wenn wir unsere Gedanken nicht nur auf die alberne Outlook-App beschränken, sondern – wie auch weiter oben angedeutet – ein Windows AD im Hinterkopf haben.
      Da sind die "Authentifizierungsdaten" = Anmeldedaten in die Infrastruktur der Systeme. Abseits vom Patriot Act! der USA – welches jedwede Handlung rechtfertigen kann – können diese für freien Zugriff auf kritische Infrastrukturen sorgen.

      Und verlasse Dich darauf: Gerade in Deutschland sind IT-Systeme alles andere als sicher konfiguriert… was unterschiedliche Ursachen hat und nicht immer Rückschlüsse auf die Fertigkeiten der Administratoren zulassen.

      • 1ST1 sagt:

        Stimmt schon. Aber welches AD ist aus dem Internet erreichbar, im sich dort anzumelden? Ok, jetzt könnte man sagen, hm, ja, Microsoft 365, Azure-AD-Anbindung per ADFS, dieser ganze neumodischer Kram. Oder Citrix-Gateway, um an die Firmen-internen AD integrierten Terminalserver dran zu kommen. Stimmt. Aber wer macht das ohne Zwei-Faktor-Authentifizierung?

        • Stephan sagt:

          Das AD selbst vielleicht nicht, aber zig andere Systeme, bei denen man sich mit AD-Accounts anmelden könnte. Das könnte alles sein: Gitlab, Bitbucket, Confluence, Jira, …

          Das ist ja auch gut so und die empfohlene Vorgehensweise, dass jeder Mitarbeiter genau einen Account hat, den zentral verwaltet. Nur Outlook macht das alles kaputt, indem sie das tun, was man niemals tun sollte.

          Man beachte, dass das noch weiter geht. Sie speichern das Passwort im Klartext. Der Benutzer könnte auch ähnliche Passwörter woanders haben …

          • 1ST1 sagt:

            Aus diversen größeren Umgebungen kenne ich das übrigens so, dass die Exchange-Server mit eigenen Useraccounts in einer Extra-Domäne laufen. Dann ist da eine saubere Trennung da, und beim Klau der Exchange-AD-Account-Daten reduziert sich die Angiffsfläche rein auf Exchange. Ist zwar schlimm genug, aber besser als gleich Zugang auf die anderen Kronjuwelen.

      • Martin Feuerstein sagt:

        Diese Dummheit kannst du den Nutzern nicht abgewöhnen – egal ob Exchange oder ein anderer Dienst, öffentlich erreichbar oder nicht. Was man eingeben kann, wird eingegeben.

  10. Anonymous sagt:

    Ich fand die Outlook App auf Android schon immer extrem schlecht. Ich konnte Kontakte dann gar nicht erst aufm Handy bearbeiten und der Kalender stand anderen Apps auch nicht zur Verfügung. Ich habe mir dann lange mit der Gmail App unter Android beholfen bis diese eines Tages das Zusammenspiel mit dem alten Hotmail Account eingestellt hat. Bis dahin hat da wohl Google mitgelesen. Danach habe mir dann die Standard Email App vom Huawei ohne Google extrahiert und auf mein Honor mit Google kopiert damit ich das Konto auch weiterhin als Exchangekonto nutzen kann. Wahrscheinlich lesen jetzt die Jungs von Honor mit :)

    Da Schrottkonto eigentlich auch nicht schlimm aber trotzdem unschön!

  11. oli sagt:

    Also hat die Outlook-App die Funktion eines Keyloggers, gut dass das geklärt ist.

  12. Stephan sagt:

    Noch ganz vergessen, was an dieser Stelle auch noch interessant sein könnte: Microsoft plant eine neue cloudorientierte Outlook-App für den Desktop.

    https://www.windowscentral.com/project-monarch-outlook-web-universal-email-client-microsoft

    Es sind nicht viele Details bekannt, aber für mich sieht das nach einer cloudbasierten Electron-App wie Teams aus. Wenn diese App herauskommt, sollte man auch mal prüfen, ob sie direkte Verbindungen zum Exchange macht oder ob das auch über die Cloud geht.

    Electron ist ein Framework, wo eine Web-App in einem eigenen Chromebrowser läuft. Bekannte Beispiele sind Teams, VS Code und OneNote. Electron stammt von Github und ist seit der Übernahme Teil von Microsoft. Electron-Apps stehen unter anderem auch in der Kritik, nicht auf demselben Stand von Sicherheitsupdates zu sein wie der Chromebrowser, den sie verwenden. Der Vorteil ist vor allem die einfache Entwicklung: Man entwickelt einmal die Webanwendung und sie läuft dann dank Chrome auf Windows, Linux und Mac.

    • Günter Born sagt:

      Habe es nur am Rande verfolgt, da mich die 'Ankündigungen, was irgendwann kommt' nur noch nerven. Aber beim Stichwort 'Electron-Framwork' kann ich nur sagen: Finger weg von diesem Gefrickel und nicht mal mit der Kneifzange anfassen. Genau wie angedeutet, ist das Electron-Framework immer mal wieder aufgefallen, weil uralt Chrome-Versionen mit bekannten Sicherheitslücken in Produkten wie Teams enthalten waren – ich hatte vor genau einem Jahr (19.1.2020) diesen Fall im Abschnitt 'Electron-Framework und Uralt-Chromium' dieses Blog-Beitrags thematisiert. Interessiert aber niemanden, denn Hauptsache App, und wenn Teams dran steht, setzt bei der Masse eh der Verstand aus und der 'haben muss Reflex' gewinnt Oberhand.

  13. techee sagt:

    Was wäre denn die Alternative? Ich mein, welche App unter Android wäre denn überhaupt vertrauenswürdig, dass man ihr die Exchange Anmeldedaten überlassen kann?

    • 1ST1 sagt:

      Evtl. Thunderbird, dem würde ich noch am ehesten vertrauen. Zumindestens die Desktopversion soll mit Exchange kommunizieren können. Aber getestet habe ich das auf dem Smartphone noch nie.

    • Dat Bundesferkel sagt:

      Persönlich vertraue ich AquaMail, wobei ich empfehle, vorab anonyme Nutzerdaten in den Eigenschaften zu deaktivieren.
      Habe es aber noch nicht in Exchange-Umgebungen eingesetzt (wobei es kompatibel sein soll).
      Könntest Dir ja mal die kostenfreie Edition ansehen und mit einem Test-Account prüfen, ob er direkt mit Exchange kommuniziert oder einen konfigurierten EWS braucht.

  14. Anonymous2 sagt:

    Hallo,

    ich muss Anonymous etwas in Schutz nehmen. Ich verstehe die Aufregung nicht. Microsoft hat den Sachverhalt an verschiedenen Stellen mehrfach (seit Jahren) beschreiben. Ja das wird in der App nirgends erwähnt, findet sich aber an vielen Stellen in der MS Doku. Dort wird sogar vor möglichen Compliance/DSGVO Problemen gewarnt, falls man kein Cloud Vertrag mit Microsoft hat.

    z.B. https://docs.microsoft.com/de-de/exchange/clients/outlook-for-ios-and-android/passwords-and-security?view=exchserver-2019

    z.B. https://docs.microsoft.com/de-de/Exchange/clients/outlook-for-ios-and-android/use-hybrid-modern-auth?view=exchserver-2019

    Nur weil etwas von Microsoft kommt, ist man doch nicht automatisch von der Security, Compliance und Datenschutz Prüfung befreit.

    2018 wurde eine weitere Zwischenstelle für die Synchronisierung entfernt. Seit dem nutzt die App ein angepasstes Outlook Desktop Protokoll. Davor war es noch schlimmer (das Thema mit dem Aufkauf etc.)

    Ebenso ist öffentlich einsehbar, dass Microsoft nicht plant die Art der Synchronisation zu ändern, sondern es als Fortschritt für den Latenzarmen Cloud Sync feiert. Es wurde für die Cloud entworfen, nicht für On-Prem. Es ist sehr wahrscheinlich, dass das Rework der Outlook Desktop App das auch genau so bekommt.

    Ebenso wenig kann ich die Aufregung über Basic Auth verstehen. Hat irgendwer von denjenigen mal die ActiveSync Spezifikation gelesen? Das kann nur Basic Auth, zertifikatsbasiert und modern Auth. Wer OnPrem nicht mit Zertifikaten arbeitet, nutzt das automatisch…

    P.S. ich kann jedem nur Raten sich endlich mal von Basic Auth und anderen unsicheren Authentifikationsmethoden zu trennen. Sowohl bei Apps als auch auf Desktop und Server (Channel Binding Encryption und Signing, Secure Channel Enforcement; SMBv1, NTLMv1 sind nur einige der vielen Probleme die dort existieren und von vielen "aus Komptibilitätsgründen" verschlafen werden).

    Aber schön, dass dieser Beitrag zur allgemeinen Awareness zu dem Thema beiträgt.

    • Günter Born sagt:

      Ich kann es selbst nicht verifizieren – daher gebe ich es an die Admins weiter, die das mit der App testen können. Über FB hatte hat mir ein Berater geschrieben, dass die Leute auf Modern Auth umstellen sollten, dann wäre das kein Thema mehr. Auf Grund obiger Kommentare hatte ich explizit nachgefragt und es kam die Antwort, dass die Outlook-App Modern Auth unterstützt. Stellt sich die Frage, ob das nur für Exchange Online geht oder auch für On-Premises Exchange – und wenn ja, wie.

      • Stephan sagt:

        In meinem Text schreibe ich auch schon, daß Modern Authentication kein Paßwort benutzt. Aber daraus kann man nicht sicher schließen, daß das Paßwort nicht in der Cloud gespeichert wird. Die App bzw. der Clowndienst können vorher nicht wissen, nach welcher Authentisierungsmethode der Server in Zukunft fragen wird.

    • Anonymous sagt:

      Der Sachverhalt das Microsoft es irgendwo dokumentiert hat, ändert doch an dem Problem nichts, das Sie es zulassen. Ganz zu schweigen dies als "Gewinn zu feiern". Und auch auf "mögliche DSGVO Probleme" hinzuweisen entschuldet Microsoft (und auch andere App-Anbieter) nicht, schließlich lassen Sie es ja dennoch zu und warnen auch in der App nicht vor den Risiken, sondern nur in einer Doku. Alles immer unter dem Vorwand "user experience" und die "usability" zu erhöhen. Und alle Mails/ Inhalte ebenfalls über die Cloud zu synchronisieren (u.a. um Sie auszuwerten und für die Kategorisierung nach Microsoft-Denke) die zudem Server (z.B. 52.97.142.69) teilweise aus den USA sind, ist noch schändlicher, Doku hin oder her!
      P.S.: Niemand hat hier Verschwörungstheorien postuliert. Da interpriert Herr Anonymous ein bisschen zu viel

      • Stephan sagt:

        Es reicht sowieso nicht, zu sagen, daß der Admin es hätte wissen können, wenn er alle Dokus gelesen hätte. Mal ganz abgesehen davon, daß die Doku verstreut, unübersichtlich und ständig in Veränderung ist.
        Jeder einzelne Benutzer, der da ein Paßwort eingibt, muß informiert sein. Paßwörter sind persönlich. Auch das Paßwort eines Mitarbeiters bei einer Firma kann Rückschlüsse auf Paßwörter außerhalb der Firma geben. Die Firma kann ihm diese Entscheidung nicht abnehmen.
        Zumal das Paßwort auch innerhalb der Firma heikel sein kann, weil damit ein Angreifer den Mitarbeiter impersonieren kann, um Schaden anzurichten. In vielen Firmen ist Nachvollziehbarkeit von Aktivitäten auf einzelne Benutzer wichtig, oft sogar regulatorisch verlangt.

  15. Anonymous2 sagt:

    Das ist aber ein generelles Thema bei Apps. Microsoft beschreibt wenigstens überhaupt was da passiert (wenn auch nicht in der App). Wie in der Doku beschrieben, werden die Daten, falls man O365 benutzt, nur in der Region verarbeitet die man ausgewählt hat. Ohne Vertrag gibt es dafür keine Garantien.

    Passwort ist generell ein veraltetes Konzept. Zwei Faktor sollte heute eigentlich das Minimum darstellen, wenn's schon Passwort sein muss. Dann ist's auch nicht gleich n Weltuntergang wenn jemand anders das Passwort erfährt.

    Exchange on prem kann alleine kein modern auth, hier ist CBA empfehlenswert. Mit nem guten EMM/UEM lässt sich das sauber automatisieren und absichern.

  16. EinUser sagt:

    Nach dem großen Chaos letzen Monat (Hafnium Hack) haben auch wir uns intensiv mit dem Thema beschäftigt.

    Nach Einführung eines GeoIP-Filters und Beschränkung des Zugriffes von IPs nur aus DE mussten wir feststellen, dass die Outlook APP einen "Umweg" über Microsoft-Server auf unseren Exchange nimmt. Auf Grundlage der IP-Beschränkungen flogen somit sämtliche Outlook Apps von den Endgeräten.

    Heute, knapp eine Woche später verzeichnen wir noch immer im Minutentakt Zugriffe (geblockt via IP-Filter) von Microsoft-Servern (getestet mit ausgeschalteten Geräten).

    Im Logfile deutlich zu sehen: Domäne, Benutzername, DeviceID und Appversion der ehemaligen Outlook APP.

    Und wieder dürfen unsere User ihre Passwörter ändern…

  17. Martin Fessler sagt:

    Hallo,

    gibt es dazu event. ein Update?
    Betrifft es "nur" noch On-Prem Exchange oder werden auch POP/IMAP/SMTP credentials weiterhin (wie 2015) auf Microsoft Servern "gesichert"?

    Danke und Grüße,
    Martin F.

Schreibe einen Kommentar zu 1ST1 Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.