Abo
  • IT-Karriere:

Sicherheitslücke: Outlook-App ermöglichte Auslesen von E-Mails

Eigentlich sollte in E-Mails eingebetteter Javascript-Code nicht ausgeführt werden. Mit der Android-Version von Microsofts Outlook war dies durch einen Trick möglich. Mit einer präparierten E-Mail konnte unter anderem das Mailkonto ausgelesen werden.

Artikel veröffentlicht am ,
Die Android-App von Outlook hatte eine Sicherheitslücke.
Die Android-App von Outlook hatte eine Sicherheitslücke. (Bild: Pixaline/Pixabay)

Eine Sicherheitslücke in der Android-Version von Microsofts E-Mail-Programm Outlook ermöglichte Angreifern das Auslesen des E-Mailkontos. Der Sicherheitsforscher Bryan Appleby hatte die Lücke entdeckt und an Microsoft gemeldet. Der Softwarehersteller hat die Sicherheitslücke in der Version 3.0.88 behoben.

Stellenmarkt
  1. Allianz Deutschland AG, Stuttgart
  2. Fresenius Medical Care Deutschland GmbH, Sankt Wendel

Der Sicherheitsforscher stellte fest, dass sich Webinhalte via Iframe in der Android-App von Outlook rendern ließen. Laut einem Blogeintrag von Appleby wurden Bilder und Trackingpixel von externen Webseiten in dem Iframe auch dann dargestellt, wenn das Blockieren externer Bilder in den Einstellungen aktiviert war. Dem Sicherheitsforscher gelang es zudem, über den Iframe Javascript-Code auszuführen. Hierdurch wird eine Cross-Site-Scripting-Attacke (XSS) möglich.

Zugriff auf E-Mails

In den HTML-Code einer E-Mail eingebundene Javascripts führt die Android-App von Outlook nicht aus. Appleby gelang es jedoch, ein Script mittels Iframe einzubinden, das anschließend von der Outlook-App ausgeführt wurde. "In einem Webbrowser sollte Javascript in einem Iframe auf einer separaten Domain jedoch keinen Zugriff auf die Daten auf dem Rest der Seite haben", schreibt der Sicherheitsforscher. In der Android-App von Outlook gebe es keine solche Einschränkung.

Das via Iframe eingebundene Javascript wurde lokal ausgeführt und hatte vollen Zugriff auf Cookies, Tokens und E-Mails. Angreifer hätten mittels entsprechend präparierter E-Mails die komplette Mailbox eines Nutzers auslesen können, während der Nutzer eine E-Mail liest.

Appleby meldete die Sicherheitslücke bereits am 10. Dezember 2018 an Microsoft. Dort konnte sie allerdings anfangs nicht reproduziert werden. Appleby entwickelte einen Proof-of-Concept (PoC) und schickte diesen im März an Microsoft. Binnen 90 Tagen wurde die Sicherheitslücke geschlossen. Der Sicherheitsforscher veröffentlichte in einem Blogeintrag neben einer Fehlerbeschreibung auch den Proof-of-Concept-Code. Outlook-Nutzer unter Android sollten daher zeitnah die aktuelle Version der App einspielen.



Anzeige
Spiele-Angebote
  1. 229,00€
  2. 51,95€
  3. 43,99€
  4. (-40%) 29,99€

Folgen Sie uns
       


Golem.de probiert 5G in Berlin aus - Bericht

Wir probieren 5G in Berlin-Adlershof aus.

Golem.de probiert 5G in Berlin aus - Bericht Video aufrufen
Ryzen 7 3800X im Test: Der schluckt zu viel
Ryzen 7 3800X im Test
"Der schluckt zu viel"

Minimal mehr Takt, vor allem aber ein höheres Power-Budget für gestiegene Frequenzen unter Last: Das war unsere Vorstellung vor dem Test des Ryzen 7 3800X. Doch die Achtkern-CPU überrascht negativ, weil AMD es beim günstigeren 3700X bereits ziemlich gut meinte.
Ein Test von Marc Sauter

  1. Epyc 7H12 & Ryzen 5 3500X AMD bringt 280-Watt-CPU und plant günstigen Sechskerner
  2. Agesa 1003abba Microcode-Update taktet Ryzen 3000 um 50 MHz höher
  3. Agesa 1003abb Viele ältere Platinen erhalten aktuelles UEFI für Ryzen 3000

Verkehrssicherheit: Die Lehren aus dem tödlichen SUV-Unfall
Verkehrssicherheit
Die Lehren aus dem tödlichen SUV-Unfall

Soll man tonnenschwere SUV aus den Innenstädten verbannen? Oder sollten technische Systeme schärfer in die Fahrzeugsteuerung eingreifen? Nach einem Unfall mit vier Toten in Berlin mangelt es nicht an radikalen Vorschlägen.
Eine Analyse von Friedhelm Greis

  1. Torc Robotics Daimler-Tochter testet selbstfahrende Lkw
  2. Edag Citybot Wandelbares Auto mit Rucksackmodulen gegen Verkehrsprobleme
  3. Tusimple UPS testet automatisiert fahrende Lkw

Astronomie: K2-18b ist weder eine zweite Erde noch super
Astronomie
K2-18b ist weder eine zweite Erde noch super

Die Realität sieht anders aus, als manche Überschrift vermuten lässt. Die neue Entdeckung von Wasser auf einem Exoplaneten deutet nicht auf Leben hin, dafür aber auf Probleme im Wissenschaftsbetrieb.
Von Frank Wunderlich-Pfeiffer

  1. Interview Heino Falcke "Wir machen Wettermodelle für schwarze Löcher"

    •  /