News Über 100 Mio. Nutzer: Microsofts Outlook-App für Android ist unsicher

O

onesworld

Gast
direkt mal den Verweis an Exodus welches die verschiedenen Apps nach Trackern bewertet und untersucht:

https://reports.exodus-privacy.eu.org/en/reports/search/com.microsoft.office.outlook/
Da sollte man ruhig mal seine ganzen Apps betrachten! :cool_alt:

Dann doch lieber eine OpenSource-App wie K9-Mail...
Exodus ist so ne Sache. Die bewerten es schlecht, dass meine Email+Kalender-App zugriff auf meinen Kalender und meine Emails hat. WTF?
 

Hansdampf12345

Captain
Dabei seit
Nov. 2005
Beiträge
3.818

anyone23

Lieutenant
Dabei seit
Aug. 2009
Beiträge
816
Als nächstes behauptet jemand die Zugangsdaten zu GMail wären bei Google.
Also erstens weiß ein Anbieter solcher Dienste NICHT das Passwort seiner User. Das Klartextpasswort wird gehasht und dann mit dem gespeicherten, gehashten Passwort vergleichen. Google weiß also nicht dein Google-Passwort, Netflix nicht dein Netflix-Passwort usw.

Nur wenn du die Outlook-App verwendest, gibst/gabst du Microsoft damit deine Klartext-Passwörter weiter. Die Outlook-App wird außerdem als allgemeine E-Mail-App vertrieben, wodurch Microsoft damit auch dein Klartext-Passwort für die ganzen anderen Mailaccounts haben möchte/wollte, damit Microsoft die Mails selbst von dort abruft.

So war dies zumindest bei der Einführung und deshalb wurde die App zurecht auch in vielen Unternehmen verboten. Ob es immer noch so ist, kann ich nicht beantworten aber alleine schon der Fakt, dass Microsoft die Mails in der Vergangenheit auf diese hinterhältige Art und Weise abgerufen hat, zeigt, wie wenig man dieser App vertrauen sollte.

Zum Vergleich: K9-Mail und jede andere vertrauenswürdige E-Mail-App ruft die Mails mit deinen Zugangsdaten einfach nur LOKAL auf dem Gerät ab und die Zugangsdaten werden hierbei NICHT weitergegeben.
Exodus ist so ne Sache. Die bewerten es schlecht, dass meine Email+Kalender-App zugriff auf meinen Kalender und meine Emails hat. WTF?
Naja, Exodus zeigt nur die verwendeten Spionage-Tracker an und warnt ggf. falls eine App viele Rechte möchte.

Schlussendlich muss man das selbst bewerten. Eine Mail-App hat Zugriff auf meine Mails und Kontakte? -> In Ordnung, wenn das Unternehmen/die App sonst vertrauenswürdig ist. Eine Mail-App enthält Spionage-Tracker? -> Nicht in Ordnung, weil das für den Einsatzzweck der App nicht notwendig ist.
 

Schrammler

Commander
Dabei seit
Nov. 2009
Beiträge
2.651
Outlook habe ich zuletzt vor über 20 Jahren benutzt, auf Android kommt bei mir weder das noch Gmail zum Einsatz, zumindest solange es so schöne schlanke Alternativen wie K9 Mail gibt ;)
 

Marflowah

Lt. Commander
Dabei seit
März 2018
Beiträge
1.027
Nutze LineageOS 16 ohne jegliche GApps und mit K9-Mail als E-Mail-Client auf meinem Sony Xperia XA2.

Natürlich ist OpenSource nicht zwangsweise sicherer, was Bugs und Sicherheitslücken betrifft, aber es ist auf jeden Fall sicherer, was Tracker und absichtliches Sammeln von Userdaten zu zweifelhaften Zwecken betrifft. Ich hoffe, der Unterschied wird jetzt auch dem letzten Deppen klar.
 

AleksZ86

Captain
Dabei seit
Mai 2008
Beiträge
3.596

-Ps-Y-cO-

Rear Admiral
Dabei seit
Okt. 2007
Beiträge
5.507
Und Ich fragte mich gestern wieso mein Windows mir sagt, meine Konteneinstellungen seien Veraltet bzw. mein Konto sei nicht sicher! "Konto Reparieren"
Danke für die Aufklärung CB
 

Taube Nuss

Lt. Junior Grade
Dabei seit
Aug. 2014
Beiträge
421
direkt mal den Verweis an Exodus welches die verschiedenen Apps nach Trackern bewertet und untersucht:

https://reports.exodus-privacy.eu.org/en/reports/search/com.microsoft.office.outlook/
Da sollte man ruhig mal seine ganzen Apps betrachten! :cool_alt:
Dann doch lieber eine OpenSource-App wie K9-Mail...

Interessanter link, ich habe mal "Meine" Email / Kalender App (Nine) überprüft:
Na ja, es wird Read & Write Calender als Gefährlich eingestuft ^^
die anderen Sachen sind ähnlich sinnlos ...
 

Chriz

Lt. Junior Grade
Dabei seit
Mai 2004
Beiträge
321
Exodus listet eben alles auf - dass die primäre Aufgabe einer App auch hier erscheint ist ja dann wohl logisch!

Ich möchte mal den Aufschrei hören wenn Exodus diesen Zugriff auf Mail und Kalender bei der Facebook-App oder einer chinesischen Shopping-App nicht aufführt...
 

cloudman

Lt. Junior Grade
Dabei seit
März 2019
Beiträge
460
...
Nur wenn du die Outlook-App verwendest, gibst/gabst du Microsoft damit deine Klartext-Passwörter weiter. Die Outlook-App wird außerdem als allgemeine E-Mail-App vertrieben, wodurch Microsoft damit auch dein Klartext-Passwort für die ganzen anderen Mailaccounts haben möchte/wollte, damit Microsoft die Mails selbst von dort abruft.

So war dies zumindest bei der Einführung und deshalb wurde die App zurecht auch in vielen Unternehmen verboten. Ob es immer noch so ist, kann ich nicht beantworten aber alleine schon der Fakt, dass Microsoft die Mails in der Vergangenheit auf diese hinterhältige Art und Weise abgerufen hat, zeigt, wie wenig man dieser App vertrauen sollte.
Das ist seit ca 4 Jahren nicht mehr. Microsoft hatte Acompli und ihre Mail App übernommen. Gedacht war es so das die App alle mail Accounts verwaltet und dazu wurde dieser ziemlich dämliche Ansatz benutzt.
Aber wie gesagt ist schon ziemlich lange nicht mehr so.
 

Highspeed Opi

Admiral
Dabei seit
Nov. 2007
Beiträge
9.099
Also erstens weiß ein Anbieter solcher Dienste NICHT das Passwort seiner User. Das Klartextpasswort wird gehasht und dann mit dem gespeicherten, gehashten Passwort vergleichen. Google weiß also nicht dein Google-Passwort, Netflix nicht dein Netflix-Passwort usw.
Das ist aber überaus naiv von dir solche Unternehmen derart zu verteidigen, obwohl du zum Einen es gar nicht wissen kannst und zum Anderen das Gegenteil bei "solchen" Unternehmen bereits einige Male bewiesen wurde.
Der jüngste Fall war beispielsweise Facebook.

Ich würde mir nicht die Frage stellen ob diese Unternehmen deine Passwörter auslesen, sondern ob zufällig jemand beweisen konnte, ob es der Fall ist oder nicht.
Mir fallen mehrere Gründe ein, warum man dies machen sollte. Der "harmloseste" Grund dabei wäre, dass die Unternehmen für sich auswerten wollen, wie oft welche Passwörter die Nutzer verwenden. Ein wirtschaftlicher Grund dabei wäre, dass man so Brute-Force-Programme entwickeln kann, die aufgrund bekannter Muster und häufiger Zeichenkombinationen noch schneller Passwörter knacken könnten. Solche Programme könnte man einem kleinen Kreis extrem teuer anbieten.

Ich sehe deshalb nur eine Lösung für solche, die bereits gefühlt tausende Male im Internet genannt wurde:
Niemals das selbe Passwort ein zweites Mal verwenden. Jede Seite, jede App, jeder Dienst, einfach alles braucht ein eigenes Passwort, welches man regelmäßig ändern sollte. Diese Passwörter dürfen natürlich auch keinem einfachen Muster folgen wie "MeinNameAmazon2019", "MeinNameFacebook2019", etc.
 

cloudman

Lt. Junior Grade
Dabei seit
März 2019
Beiträge
460
"The security update addresses the vulnerability by correcting how Outlook for Android parses specially crafted email messages.”
Also ist nur diese App betroffen
 

Gnageseil

Ensign
Dabei seit
März 2017
Beiträge
135
Ein Microsoft-Produkt ist unsicher - was ganz was neues :evillol:
Aber wer die Outlook-App verwendet (selbst mit Exchange) hat den Schuss eh nich gehört...
Ich bewundere ja so richtige Profis, die ohne einen Fehler zu machen, komplexe Programme schreiben können. Einfach toll! Andere tun das ja bloß als dummes Bashing ab, anstatt die absolute Überlegenheit anzuerkennen.
 

cloudman

Lt. Junior Grade
Dabei seit
März 2019
Beiträge
460
Nee nee das war kein Fehler sondern eine der vielen NSA backdoors. Mittlerweile sollte doch bekannt sein, dass Microsoft und die anderen US Firmen geheime Mitglieder der Illuminaten sind und mit Hilfe der NSA die Weltherrschaft schon lange übernommen haben
 

erazzed

Lt. Commander
Dabei seit
Dez. 2008
Beiträge
1.200
Top