Sicherheitslücke: Outlook-App ermöglichte Auslesen von E-Mails

Eigentlich sollte in E-Mails eingebetteter Javascript-Code nicht ausgeführt werden. Mit der Android-Version von Microsofts Outlook war dies durch einen Trick möglich. Mit einer präparierten E-Mail konnte unter anderem das Mailkonto ausgelesen werden.

Artikel veröffentlicht am ,
Die Android-App von Outlook hatte eine Sicherheitslücke.
Die Android-App von Outlook hatte eine Sicherheitslücke. (Bild: Pixaline/Pixabay)

Eine Sicherheitslücke in der Android-Version von Microsofts E-Mail-Programm Outlook ermöglichte Angreifern das Auslesen des E-Mailkontos. Der Sicherheitsforscher Bryan Appleby hatte die Lücke entdeckt und an Microsoft gemeldet. Der Softwarehersteller hat die Sicherheitslücke in der Version 3.0.88 behoben.

Stellenmarkt
  1. Produktmanager Digitale Infrastrukturen (w/m/d)
    Dataport, verschiedene Standorte
  2. IT-Systemelektroniker / Elektrotechniker / Fachinformatiker für Systemintegration als Netzwerktechniker ... (m/w/d)
    Max-Planck-Institut für Biochemie, Martinsried bei München
Detailsuche

Der Sicherheitsforscher stellte fest, dass sich Webinhalte via Iframe in der Android-App von Outlook rendern ließen. Laut einem Blogeintrag von Appleby wurden Bilder und Trackingpixel von externen Webseiten in dem Iframe auch dann dargestellt, wenn das Blockieren externer Bilder in den Einstellungen aktiviert war. Dem Sicherheitsforscher gelang es zudem, über den Iframe Javascript-Code auszuführen. Hierdurch wird eine Cross-Site-Scripting-Attacke (XSS) möglich.

Zugriff auf E-Mails

In den HTML-Code einer E-Mail eingebundene Javascripts führt die Android-App von Outlook nicht aus. Appleby gelang es jedoch, ein Script mittels Iframe einzubinden, das anschließend von der Outlook-App ausgeführt wurde. "In einem Webbrowser sollte Javascript in einem Iframe auf einer separaten Domain jedoch keinen Zugriff auf die Daten auf dem Rest der Seite haben", schreibt der Sicherheitsforscher. In der Android-App von Outlook gebe es keine solche Einschränkung.

Das via Iframe eingebundene Javascript wurde lokal ausgeführt und hatte vollen Zugriff auf Cookies, Tokens und E-Mails. Angreifer hätten mittels entsprechend präparierter E-Mails die komplette Mailbox eines Nutzers auslesen können, während der Nutzer eine E-Mail liest.

Golem Karrierewelt
  1. Azure und AWS Cloudnutzung absichern: virtueller Zwei-Tage-Workshop
    22./23.09.2022, virtuell
  2. Entwicklung mit Unity auf der Microsoft HoloLens 2 Plattform: virtueller Zwei-Tage-Workshop
    10./11.10.2022, Virtuell
Weitere IT-Trainings

Appleby meldete die Sicherheitslücke bereits am 10. Dezember 2018 an Microsoft. Dort konnte sie allerdings anfangs nicht reproduziert werden. Appleby entwickelte einen Proof-of-Concept (PoC) und schickte diesen im März an Microsoft. Binnen 90 Tagen wurde die Sicherheitslücke geschlossen. Der Sicherheitsforscher veröffentlichte in einem Blogeintrag neben einer Fehlerbeschreibung auch den Proof-of-Concept-Code. Outlook-Nutzer unter Android sollten daher zeitnah die aktuelle Version der App einspielen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Halbleiterfertigung
Keine modernen Belichtungsmaschinen mehr für China

Maschinen für EUV-Belichtung darf ASML bereits nicht mehr nach China exportieren, auch der Zugang zu älteren DUV-Anlagen soll gekappt werden.

Halbleiterfertigung: Keine modernen Belichtungsmaschinen mehr für China
Artikel
  1. Games with Gold: Die Xbox-360-Neuauflagen sind alle
    Games with Gold
    Die Xbox-360-Neuauflagen sind alle

    Ab Oktober 2022 ist Schluss mit weiteren Xbox-360-Spielen in Spieleabos von Microsoft. Grund ist schlicht eine natürliche Grenze.

  2. 5G: Huawei und Ericsson erfreut über Sicherheitscheck des BSI
    5G
    Huawei und Ericsson erfreut über Sicherheitscheck des BSI

    Huawei betont, dass seine Produkte bereits nach ähnlichen Kriterien wie jetzt vom BSI auditiert wurden. Auch Ericsson will voll kooperieren.

  3. Kryptowinter: Auch Bitcoin-Minern droht die Zahlungsunfähigkeit
    Kryptowinter
    Auch Bitcoin-Minern droht die Zahlungsunfähigkeit

    Nicht nur Bitcoin-Verleiher gehen in der Krise pleite. Auch professionelle Krypto-Mining-Unternehmen kämpfen um ihre Liquidität.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Red Friday: Mega-Rabatt-Aktion bei Media Markt • PS5 bestellbar • EVGA RTX 3090 günstig wie nie: 1.649€ • MindStar (MSI RTX 3060 429€, MSI 31,5“ WQHD 165Hz 369€) • Samsung QLED 85" günstig wie nie: 1.732,72€ • Alternate (Tower & CPU-Kühler) • Der beste 2.000€-Gaming-PC [Werbung]
    •  /