• IT-Karriere:
  • Services:

Sicherheitslücke: Outlook-App ermöglichte Auslesen von E-Mails

Eigentlich sollte in E-Mails eingebetteter Javascript-Code nicht ausgeführt werden. Mit der Android-Version von Microsofts Outlook war dies durch einen Trick möglich. Mit einer präparierten E-Mail konnte unter anderem das Mailkonto ausgelesen werden.

Artikel veröffentlicht am ,
Die Android-App von Outlook hatte eine Sicherheitslücke.
Die Android-App von Outlook hatte eine Sicherheitslücke. (Bild: Pixaline/Pixabay)

Eine Sicherheitslücke in der Android-Version von Microsofts E-Mail-Programm Outlook ermöglichte Angreifern das Auslesen des E-Mailkontos. Der Sicherheitsforscher Bryan Appleby hatte die Lücke entdeckt und an Microsoft gemeldet. Der Softwarehersteller hat die Sicherheitslücke in der Version 3.0.88 behoben.

Stellenmarkt
  1. JACKON Insulation GmbH, Arendsee
  2. Hornbach-Baumarkt-AG, Bornheim bei Landau Pfalz

Der Sicherheitsforscher stellte fest, dass sich Webinhalte via Iframe in der Android-App von Outlook rendern ließen. Laut einem Blogeintrag von Appleby wurden Bilder und Trackingpixel von externen Webseiten in dem Iframe auch dann dargestellt, wenn das Blockieren externer Bilder in den Einstellungen aktiviert war. Dem Sicherheitsforscher gelang es zudem, über den Iframe Javascript-Code auszuführen. Hierdurch wird eine Cross-Site-Scripting-Attacke (XSS) möglich.

Zugriff auf E-Mails

In den HTML-Code einer E-Mail eingebundene Javascripts führt die Android-App von Outlook nicht aus. Appleby gelang es jedoch, ein Script mittels Iframe einzubinden, das anschließend von der Outlook-App ausgeführt wurde. "In einem Webbrowser sollte Javascript in einem Iframe auf einer separaten Domain jedoch keinen Zugriff auf die Daten auf dem Rest der Seite haben", schreibt der Sicherheitsforscher. In der Android-App von Outlook gebe es keine solche Einschränkung.

Das via Iframe eingebundene Javascript wurde lokal ausgeführt und hatte vollen Zugriff auf Cookies, Tokens und E-Mails. Angreifer hätten mittels entsprechend präparierter E-Mails die komplette Mailbox eines Nutzers auslesen können, während der Nutzer eine E-Mail liest.

Appleby meldete die Sicherheitslücke bereits am 10. Dezember 2018 an Microsoft. Dort konnte sie allerdings anfangs nicht reproduziert werden. Appleby entwickelte einen Proof-of-Concept (PoC) und schickte diesen im März an Microsoft. Binnen 90 Tagen wurde die Sicherheitslücke geschlossen. Der Sicherheitsforscher veröffentlichte in einem Blogeintrag neben einer Fehlerbeschreibung auch den Proof-of-Concept-Code. Outlook-Nutzer unter Android sollten daher zeitnah die aktuelle Version der App einspielen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 19€
  2. (-83%) 9,99€
  3. ab 1€

Folgen Sie uns
       


Macbook Air (2020) - Test

Endlich streicht Apple die fehlerhafte Butterfly auch beim Macbook Air. Im Test sind allerdings einige andere Mängel noch vorhanden.

Macbook Air (2020) - Test Video aufrufen
5G: Neue US-Sanktionen sollen Huawei in Europa erledigen
5G
Neue US-Sanktionen sollen Huawei in Europa erledigen

Die USA verbieten ausländischen Chipherstellern, für Huawei zu arbeiten und prompt fordern die US-Lobbyisten wieder einen Ausschluss in Europa.
Eine Analyse von Achim Sawall

  1. Smartphone Huawei wählt Dailymotion als Ersatz für Youtube
  2. Android Huawei bringt Smartphone mit großem Akku für 150 Euro
  3. Android Huawei stellt kleines Smartphone für 110 Euro vor

Renault, Nissan, Mitsubishi: Die Krisen-Allianz
Renault, Nissan, Mitsubishi
Die Krisen-Allianz

Mit neuen Konzepten wollen Renault, Nissan und Mitsubishi ihre Allianz retten.
Eine Analyse von Dirk Kunde

  1. Morphoz Renault stellt verlängerbares Elektroauto vor
  2. Renault Elektro-Twingo soll 2020 erscheinen
  3. K-ZE Elektro-Dacia soll 15.000 Euro kosten

Energieversorgung: Wasserstoff-Fabrik auf hoher See
Energieversorgung
Wasserstoff-Fabrik auf hoher See

Um überschüssigen Strom sinnvoll zu nutzen, sollen in der Nähe von Offshore-Windparks sogenannte Elektrolyseure installiert werden. Der dort produzierte Wasserstoff wird in bestehende Erdgaspipelines eingespeist.
Ein Bericht von Wolfgang Kempkens

  1. Industriestrategie EU plant Allianz für sauberen Wasserstoff
  2. Energie Dieses Blatt soll es wenden
  3. Energiewende Grüner Wasserstoff aus der Zinnschmelze

    •  /