前不久微软刚刚发布了iOS版Outlook应用程序,而这几天安全研究人员René Winkelmeyer发现其数个安全隐患,包括微软可以在用户毫不知情的情况下获取用户的邮箱账户和服务器数据。
Winkelmeyer在安装iOS版Outlook应用程序时,发现它会询问用户是否接收推送通知,这有点匪夷所思。是这样的,可能你用过iOS自带的邮件收取工具,因为他是常驻后台可以实时推送,但是对于其他APP来讲是没有这个权限的。所以Winkelmeyer就决定测试一下为什么该应用程序会请求用户接收iOS推送。
1、首先彻底关掉这个APP;
2、用另一个邮箱向我的Outlook邮箱发送测试邮件;
3、我立即收到了新邮件的推送通知。
Winkelmeyer推测,微软可能是使用云端来记录用户的登录凭证,并实时监控他们的ActiveSync账户。
换句话说,这时候微软已经在服务器端已经获取到了你的邮件标题邮件内容,然后再推送到手机上。
这样直接推断可能不太恰当,于是他又进行了第二次测试:
首先,把所有设备设置成飞行模式(避免出现数据干扰);
然后,打开Apache服务器(作者的测试环境是把Apache放在了前端)访问日志;
居然又出现了!
54.148.96.196 – – [29/Jan/2015:16:19:50+0100] “POST/traveler/Microsoft-Server-ActiveSync?User=mysupermail%40winkelmeyer.com&DeviceId=123123123123&DeviceType=Outlook&Cmd=SyncHTTP/1.1″ 200 25 “-” “Outlook-iOS-Android/1.0″
这些测试证明,微软将其用户登录凭证和服务器数据储存在了云端,而且用户也不知情!理论上来说,微软完全可以访问所有用户的PIM数据。
小编补充:上面这段话可能大家第一次读不会太理解。其实大致是这样的,作为一个收信工具,Outlook应该只与邮件服务器通信,但是在iOS上他没有实时推送的权限,这时候一个收信工具的实时性就出了问题,总不能用户半小时手工去刷一次吧?不过微软的开发团队为了解决这个问题,在用户和邮件服务器之间又放了一台服务器用于监控你的邮箱状态,虽然你的手机是锁屏或APP退出,但是只要监控到有新邮件,服务器会直接推送到你的手机上。
小编推荐阅读