Sicherheitslücke: Outlook-App ermöglichte Auslesen von E-Mails
Eigentlich sollte in E-Mails eingebetteter Javascript-Code nicht ausgeführt werden. Mit der Android-Version von Microsofts Outlook war dies durch einen Trick möglich. Mit einer präparierten E-Mail konnte unter anderem das Mailkonto ausgelesen werden.
Eine Sicherheitslücke in der Android-Version von Microsofts E-Mail-Programm Outlook ermöglichte Angreifern das Auslesen des E-Mailkontos. Der Sicherheitsforscher Bryan Appleby hatte die Lücke entdeckt und an Microsoft gemeldet. Der Softwarehersteller hat die Sicherheitslücke in der Version 3.0.88 behoben.
Der Sicherheitsforscher stellte fest, dass sich Webinhalte via Iframe in der Android-App von Outlook rendern ließen. Laut einem Blogeintrag von Appleby wurden Bilder und Trackingpixel von externen Webseiten in dem Iframe auch dann dargestellt, wenn das Blockieren externer Bilder in den Einstellungen aktiviert war. Dem Sicherheitsforscher gelang es zudem, über den Iframe Javascript-Code auszuführen. Hierdurch wird eine Cross-Site-Scripting-Attacke (XSS) möglich.
Zugriff auf E-Mails
In den HTML-Code einer E-Mail eingebundene Javascripts führt die Android-App von Outlook nicht aus. Appleby gelang es jedoch, ein Script mittels Iframe einzubinden, das anschließend von der Outlook-App ausgeführt wurde. "In einem Webbrowser sollte Javascript in einem Iframe auf einer separaten Domain jedoch keinen Zugriff auf die Daten auf dem Rest der Seite haben", schreibt der Sicherheitsforscher. In der Android-App von Outlook gebe es keine solche Einschränkung.
Das via Iframe eingebundene Javascript wurde lokal ausgeführt und hatte vollen Zugriff auf Cookies, Tokens und E-Mails. Angreifer hätten mittels entsprechend präparierter E-Mails die komplette Mailbox eines Nutzers auslesen können, während der Nutzer eine E-Mail liest.
Appleby meldete die Sicherheitslücke bereits am 10. Dezember 2018 an Microsoft. Dort konnte sie allerdings anfangs nicht reproduziert werden. Appleby entwickelte einen Proof-of-Concept (PoC) und schickte diesen im März an Microsoft. Binnen 90 Tagen wurde die Sicherheitslücke geschlossen. Der Sicherheitsforscher veröffentlichte in einem Blogeintrag neben einer Fehlerbeschreibung auch den Proof-of-Concept-Code. Outlook-Nutzer unter Android sollten daher zeitnah die aktuelle Version der App einspielen.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
scnr