来看看美帝人民的安全意识:安全研究人员指责iOS版Outlook存在多处安全隐患


发布人:admin分类:网络安全浏览量:27发布时间:2017-12-12

前不久微软刚刚发布了iOS版Outlook应用程序,而这几天安全研究人员René Winkelmeyer发现其数个安全隐患,包括微软可以在用户毫不知情的情况下获取用户的邮箱账户和服务器数据。

安全隐患一:云端存储用户登录信息

Winkelmeyer在安装iOS版Outlook应用程序时,发现它会询问用户是否接收推送通知,这有点匪夷所思。是这样的,可能你用过iOS自带的邮件收取工具,因为他是常驻后台可以实时推送,但是对于其他APP来讲是没有这个权限的。所以Winkelmeyer就决定测试一下为什么该应用程序会请求用户接收iOS推送。

测试内容如下:

1、首先彻底关掉这个APP;
2、用另一个邮箱向我的Outlook邮箱发送测试邮件;
3、我立即收到了新邮件的推送通知。

Winkelmeyer推测,微软可能是使用云端来记录用户的登录凭证,并实时监控他们的ActiveSync账户。

换句话说,这时候微软已经在服务器端已经获取到了你的邮件标题邮件内容,然后再推送到手机上。

这样直接推断可能不太恰当,于是他又进行了第二次测试:

首先,把所有设备设置成飞行模式(避免出现数据干扰);

然后,打开Apache服务器(作者的测试环境是把Apache放在了前端)访问日志;

居然又出现了!

54.148.96.196 – – [29/Jan/2015:16:19:50+0100] “POST/traveler/Microsoft-Server-ActiveSync?User=mysupermail%40winkelmeyer.com&DeviceId=123123123123&DeviceType=Outlook&Cmd=SyncHTTP/1.1″ 200 25 “-” “Outlook-iOS-Android/1.0″

这些测试证明,微软将其用户登录凭证和服务器数据储存在了云端,而且用户也不知情!理论上来说,微软完全可以访问所有用户的PIM数据。

小编补充:上面这段话可能大家第一次读不会太理解。其实大致是这样的,作为一个收信工具,Outlook应该只与邮件服务器通信,但是在iOS上他没有实时推送的权限,这时候一个收信工具的实时性就出了问题,总不能用户半小时手工去刷一次吧?不过微软的开发团队为了解决这个问题,在用户和邮件服务器之间又放了一台服务器用于监控你的邮箱状态,虽然你的手机是锁屏或APP退出,但是只要监控到有新邮件,服务器会直接推送到你的手机上。

虽然实时性解决了,但是美帝人民的隐私保护意识是特别强的,他们就认为微软在一定程度上获取了他们的邮件,侵犯了他们的隐私。

FreeBuf小科普

iOS的推送机制大致是按照以下的流程来的:

第一阶段:应用程序把要发送的消息、目的iPhone的标识打包,发给APNS。 
第二阶段:APNS在自身的已注册Push服务的iPhone列表中,查找有相应标识的iPhone,并把消息发到iPhone。 
第三阶段:iPhone把发来的消息传递给相应的应用程序, 并且按照设定弹出Push通知。

安全隐患二:邮件管理混乱

通常每个ActiveSync用户都有一个独一无二的用于同步数据的ID,这样管理员就可区分每个用户的设备。但是微软新开发的iOS版Outlook却不一样,所有用户的设备使用同一个ID,就如同一台设备,管理员根本无法区分每个用户的设备,根本分不清哪些是正常访问哪些是恶意访问。在大公司内,企业对邮件连接的控制是非常严格的,但是iOS版的Outlook开发的时候没有考虑到集中管理这一点。

安全隐患三:云存储风险

还有就是内置云端存储服务器的问题,iOS版Outlook的内置云端存储服务器有OneDrive、Dropbox和谷歌Drive。用户可以建立个人Outlook账户并共享所有邮件的附件到这些服务器上;或者直接在服务器上使用他们公司邮箱账户里的文件。虽然这不是什么漏洞,但是如果某公司员工使用iOS的Outlook来进行公司办公,比较容易出现将公司内部文件传输到第三方网盘上,有信息泄露的安全隐患。

安全建议

Winkelmeyer还解释称,苹果内置的托管和非托管应用程序是无法解决这一问题的,因为Outlook通信属于内部应用程序,用户无法控制它。他建议管理员通知所有的员工不要使用iOS版 Outlook 应用程序,并禁止该应用程序访问公司邮箱服务器。

[参考来源securityaffairs,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]


被黑站点统计 - 文章版权1、本主题所有言论和图片纯属会员个人意见,与本文章立场无关
2、本站所有主题由该文章作者发表,该文章作者与被黑站点统计享有文章相关版权
3、其他单位或个人使用、转载或引用本文时必须同时征得该文章作者和被黑站点统计的同意
4、文章作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任
5、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责
6、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意
7、被黑站点统计管理员有权不事先通知发贴者而删除本文

免责声明

本站主要通过网络搜集国内被黑网站信息,统计分析数据,为部署安全型网络提供强有力的依据.本站所有工作人员均不参与黑站,挂马或赢利性行为,所有数据均为网民提供,提交者不一定是黑站人,所有提交采取不记名,先提交先审核的方式,如有任何疑问请及时与我们联系.

admin  的文章


微信公众号

微信公众号


Copyright © 2012-2022被黑网站统计系统All Rights Reserved
页面总访问量:21452759(PV) 页面执行时间:91.749(MS)
  • xml
  • 网站地图