来看看美帝人民的安全意识：安全研究人员指责iOS版Outlook存在多处安全隐患

前不久微软刚刚发布了iOS版Outlook应用程序，而这几天安全研究人员René Winkelmeyer发现其数个安全隐患，包括微软可以在用户毫不知情的情况下获取用户的邮箱账户和服务器数据。

安全隐患一：云端存储用户登录信息

Winkelmeyer在安装iOS版Outlook应用程序时，发现它会询问用户是否接收推送通知，这有点匪夷所思。是这样的，可能你用过iOS自带的邮件收取工具，因为他是常驻后台可以实时推送，但是对于其他APP来讲是没有这个权限的。所以Winkelmeyer就决定测试一下为什么该应用程序会请求用户接收iOS推送。

测试内容如下：

1、首先彻底关掉这个APP；
2、用另一个邮箱向我的Outlook邮箱发送测试邮件；
3、我立即收到了新邮件的推送通知。

Winkelmeyer推测，微软可能是使用云端来记录用户的登录凭证，并实时监控他们的ActiveSync账户。

换句话说，这时候微软已经在服务器端已经获取到了你的邮件标题邮件内容，然后再推送到手机上。

这样直接推断可能不太恰当，于是他又进行了第二次测试：

首先，把所有设备设置成飞行模式（避免出现数据干扰）；

然后，打开Apache服务器（作者的测试环境是把Apache放在了前端）访问日志；

居然又出现了！

54.148.96.196 – – [29/Jan/2015:16:19:50+0100] “POST/traveler/Microsoft-Server-ActiveSync?User=mysupermail%40winkelmeyer.com&DeviceId=123123123123&DeviceType=Outlook&Cmd=SyncHTTP/1.1″ 200 25 “-” “Outlook-iOS-Android/1.0″

这些测试证明，微软将其用户登录凭证和服务器数据储存在了云端，而且用户也不知情！理论上来说，微软完全可以访问所有用户的PIM数据。

小编补充：上面这段话可能大家第一次读不会太理解。其实大致是这样的，作为一个收信工具，Outlook应该只与邮件服务器通信，但是在iOS上他没有实时推送的权限，这时候一个收信工具的实时性就出了问题，总不能用户半小时手工去刷一次吧？不过微软的开发团队为了解决这个问题，在用户和邮件服务器之间又放了一台服务器用于监控你的邮箱状态，虽然你的手机是锁屏或APP退出，但是只要监控到有新邮件，服务器会直接推送到你的手机上。

虽然实时性解决了，但是美帝人民的隐私保护意识是特别强的，他们就认为微软在一定程度上获取了他们的邮件，侵犯了他们的隐私。

FreeBuf小科普

iOS的推送机制大致是按照以下的流程来的：

第一阶段：应用程序把要发送的消息、目的iPhone的标识打包，发给APNS。 
第二阶段：APNS在自身的已注册Push服务的iPhone列表中，查找有相应标识的iPhone，并把消息发到iPhone。 
第三阶段：iPhone把发来的消息传递给相应的应用程序， 并且按照设定弹出Push通知。

安全隐患二：邮件管理混乱

通常每个ActiveSync用户都有一个独一无二的用于同步数据的ID，这样管理员就可区分每个用户的设备。但是微软新开发的iOS版Outlook却不一样，所有用户的设备使用同一个ID，就如同一台设备，管理员根本无法区分每个用户的设备，根本分不清哪些是正常访问哪些是恶意访问。在大公司内，企业对邮件连接的控制是非常严格的，但是iOS版的Outlook开发的时候没有考虑到集中管理这一点。

安全隐患三：云存储风险

还有就是内置云端存储服务器的问题，iOS版Outlook的内置云端存储服务器有OneDrive、Dropbox和谷歌Drive。用户可以建立个人Outlook账户并共享所有邮件的附件到这些服务器上；或者直接在服务器上使用他们公司邮箱账户里的文件。虽然这不是什么漏洞，但是如果某公司员工使用iOS的Outlook来进行公司办公，比较容易出现将公司内部文件传输到第三方网盘上，有信息泄露的安全隐患。

安全建议

Winkelmeyer还解释称，苹果内置的托管和非托管应用程序是无法解决这一问题的，因为Outlook通信属于内部应用程序，用户无法控制它。他建议管理员通知所有的员工不要使用iOS版 Outlook 应用程序，并禁止该应用程序访问公司邮箱服务器。

[参考来源securityaffairs，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）]