• IT-Karriere:
  • Services:

Sicherheitslücke: Outlook-App ermöglichte Auslesen von E-Mails

Eigentlich sollte in E-Mails eingebetteter Javascript-Code nicht ausgeführt werden. Mit der Android-Version von Microsofts Outlook war dies durch einen Trick möglich. Mit einer präparierten E-Mail konnte unter anderem das Mailkonto ausgelesen werden.

Artikel veröffentlicht am ,
Die Android-App von Outlook hatte eine Sicherheitslücke.
Die Android-App von Outlook hatte eine Sicherheitslücke. (Bild: Pixaline/Pixabay)

Eine Sicherheitslücke in der Android-Version von Microsofts E-Mail-Programm Outlook ermöglichte Angreifern das Auslesen des E-Mailkontos. Der Sicherheitsforscher Bryan Appleby hatte die Lücke entdeckt und an Microsoft gemeldet. Der Softwarehersteller hat die Sicherheitslücke in der Version 3.0.88 behoben.

Stellenmarkt
  1. CHECK24 Services GmbH, München
  2. Deutsche Rentenversicherung Bund, Berlin

Der Sicherheitsforscher stellte fest, dass sich Webinhalte via Iframe in der Android-App von Outlook rendern ließen. Laut einem Blogeintrag von Appleby wurden Bilder und Trackingpixel von externen Webseiten in dem Iframe auch dann dargestellt, wenn das Blockieren externer Bilder in den Einstellungen aktiviert war. Dem Sicherheitsforscher gelang es zudem, über den Iframe Javascript-Code auszuführen. Hierdurch wird eine Cross-Site-Scripting-Attacke (XSS) möglich.

Zugriff auf E-Mails

In den HTML-Code einer E-Mail eingebundene Javascripts führt die Android-App von Outlook nicht aus. Appleby gelang es jedoch, ein Script mittels Iframe einzubinden, das anschließend von der Outlook-App ausgeführt wurde. "In einem Webbrowser sollte Javascript in einem Iframe auf einer separaten Domain jedoch keinen Zugriff auf die Daten auf dem Rest der Seite haben", schreibt der Sicherheitsforscher. In der Android-App von Outlook gebe es keine solche Einschränkung.

Das via Iframe eingebundene Javascript wurde lokal ausgeführt und hatte vollen Zugriff auf Cookies, Tokens und E-Mails. Angreifer hätten mittels entsprechend präparierter E-Mails die komplette Mailbox eines Nutzers auslesen können, während der Nutzer eine E-Mail liest.

Appleby meldete die Sicherheitslücke bereits am 10. Dezember 2018 an Microsoft. Dort konnte sie allerdings anfangs nicht reproduziert werden. Appleby entwickelte einen Proof-of-Concept (PoC) und schickte diesen im März an Microsoft. Binnen 90 Tagen wurde die Sicherheitslücke geschlossen. Der Sicherheitsforscher veröffentlichte in einem Blogeintrag neben einer Fehlerbeschreibung auch den Proof-of-Concept-Code. Outlook-Nutzer unter Android sollten daher zeitnah die aktuelle Version der App einspielen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. 1439,90€ (Vergleichspreis: 1530,95€)

Folgen Sie uns
       


Macbook Pro 16 Zoll - Test

Das Macbook Pro 16 stellt sich in unserem Test als eine echte Verbesserung dar. Das liegt auch daran, dass Apple einen Schritt zurückgeht, das Butterfly-Keyboard fallenlässt und die physische Escape-Taste zurückbringt.

Macbook Pro 16 Zoll - Test Video aufrufen
Holo-Monitor angeschaut: Looking Glass' 8K-Monitor erzeugt Holo-Bild
Holo-Monitor angeschaut
Looking Glass' 8K-Monitor erzeugt Holo-Bild

CES 2020 Mit seinem neuen 8K-Monitor hat Looking Glass Factory eine Möglichkeit geschaffen, ohne zusätzliche Hardware 3D-Material zu betrachten. Die holographische Projektion wird in einem Glaskubus erzeugt und sieht beeindruckend realistisch aus.
Von Tobias Költzsch und Martin Wolf

  1. UHD Alliance Fernseher mit Filmmaker-Modus kommen noch 2020
  2. Alienware Concept Ufo im Hands on Die Switch für Erwachsene
  3. Galaxy Home Mini Samsung schraubt Erwartungen an Bixby herunter

Concept One ausprobiert: Oneplus lässt die Kameras verschwinden
Concept One ausprobiert
Oneplus lässt die Kameras verschwinden

CES 2020 Oneplus hat sein erstes Konzept-Smartphone vorgestellt. Dessen einziger Zweck es ist, die neue ausblendbare Kamera zu zeigen.
Von Tobias Költzsch

  1. Bluetooth LE Audio Neuer Standard spielt parallel auf mehreren Geräten
  2. Streaming Amazon bringt Fire TV ins Auto
  3. Thinkpad X1 Fold im Hands-off Ein Blick auf Lenovos pfiffiges Falt-Tablet

Europäische Netzpolitik: Die Rückkehr des Axel Voss
Europäische Netzpolitik
Die Rückkehr des Axel Voss

Elektronische Beweismittel, Nutzertracking, Terrorinhalte: In der EU stehen in diesem Jahr wichtige netzpolitische Entscheidungen an. Auch Axel Voss will wieder mitmischen. Und wird Ursula von der Leyen mit dem "Digitale-Dienste-Gesetz" wieder zu "Zensursula"?
Eine Analyse von Friedhelm Greis

  1. Mitgliederentscheid Netzpolitikerin Esken wird SPD-Chefin
  2. Nach schwerer Krankheit FDP-Netzpolitiker Jimmy Schulz gestorben

    •  /