Outlook arriva su iOS e Android: Houston we have a security problem

Ieri Microsoft ha annunciato l’arrivo di Outlook sugli store di Apple e Android:

http://blogs.office.com/2015/01/29/deeper-look-outlook-ios-android/

Senza dubbio si tratta di una grande novità per gli utenti delle due famiglie di device, ma purtroppo non è tutto oro quello che luccica.

image

Per capire il problema occorre fare un passo indietro, al 1 dicembre, quando Microsoft ha annunciato l’acquisizione di Acompli:

http://blogs.microsoft.com/blog/2014/12/01/microsoft-acquires-acompli-provider-innovative-mobile-email-apps/

Per chi non la conosce, Acompli è:

a provider of innovative mobile email apps for iOS and Android.”

In pratica Acompli realizza applicazioni per email in ambiente iOS e Android, applicazioni che ora si chiamano Outlook for iOS e Outlook for Android.

Fino a qui nulla di preoccupante, i problemi iniziano quando si va a fondo della tecnologia.

Essendo io un possessore di iPhone 4s (nessuno è perfetto Sorriso) come potevo resistere dall’installare il nuovo Outlook for iOS?

Devo dire che terminata l’installazione ed iniziata la configurazione, ho iniziato ad avere qualche dubbio, che ha trovato conferma in queste pagine di blog, sulle quali sono capitato, facendo qualche ricerca:

https://blog.winkelmeyer.com/2015/01/warning-microsofts-outlook-app-for-ios-breaks-your-company-security/

http://www.theregister.co.uk/2015/01/30/dev_finds_bleak_security_outlook_for_ios_app/

In pratica, terminata la configurazione dell’account sul device, compare la richiesta di autorizzazione per l’abilitazione dell’invio delle notifiche push, come avviene per qualunque normale applicazione.

Il problema sta nel fatto che, l’invio delle notifiche push avviene mediante servizi esterni, che in modalità “push”, inviano informazioni al device.

E qui mi sono chiesto:

quale sarà questo oggetto esterno che manda le notifiche push relative alle mie mail?

e soprattutto

come fa un oggetto o servizio esterno ad accedere alle informazioni contenute nella mia mailbox, per mandarmi le notifiche push?

La risposta può essere una sola:

le mie credenziali sono state salvate, da qualche parte, e vengono utilizzate da questo servizio per fare polling sulla mia mailbox!

Non vi nascondo che, subito dopo aver fatto dei test che hanno confermato questo sospetto, ho immediatamente cambiato la mia password.

Ulteriore conferma è arrivata dagli altri Exchange MVP con i quali sono in contatto, dai quali sono partite immediate contromisure.

In pratica, questi nuovo oggetti vanno a salvare le credenziali dell’utente in un servizio ospitato sul cloud di Amazon Web Services.

Questo servizio si interpone tra l’applicazione e il servizio Exchange ActiveSync ed esegue la connessione alla mailbox dell’utente, trasferendo poi le informazioni all’applicazione sul device.

Un’altra cosa che rappresenta un problema è che questo oggetto si registra in Exchange con un DeviceID unico e che non coincide con quello del device fisico, quindi, analizzando i log ActiveSync sul server Exchange, si vedrebbero una serie di connessioni registrate tutte con lo stesso DeviceID, anche se originate da diversi device di diversi utenti.

La ciliegina sulla torta è rappresentata dalla policy di sicurezza pubblicizzata da Acompli:

“… our service retrieves your incoming and outgoing email messages and securely pushes them to the app on your device [and] may be temporarily stored and indexed securely both in our servers and locally on the app on your device.

If your emails have attachments and you request to open them in our app, the service retrieves them from the mail server, securely stores them temporarily on our servers, and delivers them to the app.”

Ora che abbiamo le idee chiare, vediamo com’è possibile tutelarci in qualche modo da questo potenziale rischio di sicurezza.

La soluzione migliore da applicare, per chi ha una piattaforma MDM (Mobile Device Management), è bloccare l’installazione di queste applicazioni.

Diversamente possiamo solo applicare delle regole su Exchange ActiveSynce per fare in modo che le connessioni tramite questo servizio vengano bloccate o messe in quarantena.

Per farlo possiamo identificare questo tipo di connessioni dal “DeviceModel” che risulta essere “Outlook for iOS and Android”:

image

e applicare delle regole per bloccare queste connessioni:

New-ActiveSyncDeviceAccessRule –QueryString “Outlook for iOS and Android” –Characteristic DeviceModel –AccessLevel Block

oppure metterle in quarantena:

New-ActiveSyncDeviceAccessRule –QueryString “Outlook for iOS and Android” –Characteristic DeviceModel –AccessLevel Quarantine

Roberto