Mike Kuketz
29. Juni 2019 | 15:06 Uhr

Microsoft Outlook-App: Greift Microsoft die Anmeldedaten ab?

Gerade erhielt ich folgende E-Mail:

Die offizielle Outlook-App von Microsoft überträgt beim Anlegen eines IMAP-Accounts die kompletten Anmeldedaten an Microsoft. Fällt soweit nicht auf, allerdings merkte ich in den Serverlogs meines IMAP-Servers, dass sich IP-Adressen aus dem Microsoft IP-Bereich mit meinen gültigen Zugangsdaten anmelden und syncen. Die Outlook-App verbindet sich dann über https mit den Microsoft Servern, um die E-Mails darzustellen. Ich denke, mit diesem Verhalten der Outlook-App, gebührt Microsoft ein Platz auf Ihrer Liste von spionierenden E-Mail-Apps.

Wusste ich bisher auch nicht – aber sieht offenbar ganz danach aus:

When a user logs onto Exchange with Basic authentication, the username, password, and a unique AES-128 device key are sent from the user’s device to the Outlook cloud service over a TLS connection, where the device key is held in runtime compute memory.

Sowohl als Unternehmen, als auch als Privatperson würde ich nicht wollen, dass diese Daten an Microsoft übermittelt werden.

Beim Wechsel von Basic Auth zu OAuth soll das Problem offenbar weiterhin bestehen:

Currently the app (and the cloud service) needs your credentials to check the server. Microsoft’s Javier Soltero has stated that they plan to switch to other mechanisms like OAuth “when available”.

Will that solve your issues? No.

As long as they use a cloud-based service to check your ActiveSync account they’ll have access. And it doesn’t matter if they use the credentials directly or some authentication-delegation like OAuth!

Anmeldedaten in der Cloud bei Microsoft – was kann da schon schief gehen?

Hilf mit die Spendenziele zu erreichen! Mitmachen ➡
Ähnliche Beiträge
Microsoft Edge
17. Mai 2021

Microsoft Edge: Datensendeverhalten Desktop-Version – Browser-Check Teil4

Der Browser Microsoft Edge ist ein schwerer Datenschutzunfall. Selbst im privaten Modus wird die komplette URL in die Microsoft-Cloud übermittelt.
Privacy Browser
21. Juni 2021

Privacy Browser: Datensendeverhalten Android-App – Browser-Check Teil11

Der Privacy Browser hinterlässt einen datenschutzfreundlichen Eindruck, wenn da nicht ein Makel wäre: Verbindungsaufbau zum Google Autofill-Service.
Iridium Browser
7. Juni 2021

Iridium Browser: Datensendeverhalten Desktop-Version – Browser-Check Teil7

Der Iridium Browser hinterlässt einen enttäuschenden Eindruck. Insbesondere die veraltete Chrome-Basis ist grob fahrlässig und setzt Nutzer einem unnötigen Risiko aus.
App-Security-Checklist
26. April 2021

Android: Security-Checkliste für sichere App-Entwicklung

Um die Daten der Nutzer/Kunden bestmöglich zu schützen, sollte man sich als Verantwortlicher bereits vor der Entwicklung einer App mit wichtigen Sicherheitsfragen auseinandersetzen.
Chrome
16. November 2021

Google Chrome: Datensendeverhalten Desktop-Version – Browser-Check Teil21

Der Google Chrome Browser: Schnell und sicher, aber garantiert ein Fehlgriff für datenschutzsensible Nutzer.
Wissenswertes

Immer aktuell

Wenn du über aktuelle Beiträge informiert werden möchtest, hast du verschiedene Möglichkeiten dem Blog zu folgen:


Bleib aktuell ➡

Weitersagen

Wenn dir der Beitrag gefallen hat, dann teile ihn mit deinen Freunden, Bekannten und Mitmenschen. Nutze dafür soziale Medien (datenschutzfreundlich via Mastodon), Foren, Messenger, E-Mails oder einfach die nächste Feier / Veranstaltung.