Include Security: 'Android-app Outlook.com slaat e-mailberichten onversleuteld op'

De beveiliging van de Android-app Outlook.com is niet op orde. De app lijkt weliswaar berichten te versleutelen, maar dit blijkt in de praktijk niet te kloppen. Include Security waarschuwt dat data van gebruikers hierdoor gevaar loopt.

Include Security waarschuwt in een blogpost dat e-mailberichten door de Outlook.com app onversleuteld op de SD-kaart van Android-apparaten worden opgeslagen. Hackers die toegang krijgen tot deze SD-kaart kunnen de berichten hierdoor zonder problemen de e-mailberichten inzien. Het is weliswaar mogelijk berichten met een pincode te versleutelen, maar dit is volgens de beveiligingsonderzoekers zinloos.

Microsoft: 'Niet onze verantwoordelijkheid'

Microsoft neemt het probleem volgens Include Security niet serieus. Het bedrijf zou in een reactie op de bevindingen aan Include Security hebben laten weten zich niet verantwoordelijk te voelen voor het probleem. Het is dan ook onduidelijk of Microsoft het probleem gaat verhelpen.

Het beveiligingsbedrijf adviseert Android-gebruikers dan ook niet op de beveiliging van Outlook.com te vertrouwen. Gebruikers zouden zelf maatregelen moeten nemen om hun e-mailberichten te versleutelen. Denk hierbij aan een app die alle data op Android-apparaten versleuteld.

Bijlagen niet op SD-kaart opslaan

Daarnaast raadt Include Security gebruikers aan de locatie waar bijlagen worden opgeslagen te wijzigen. Deze worden door de app standaard opgeslagen op de SD-kaart, maar deze locatie kan worden gewijzigd naar een locatie op het interne geheugen van een Android-apparaat. Dit voorkomt dat een dief die de SD-kaart steelt ook gelijk bijlages van e-mailberichten in handen heeft.

Ook zouden gebruikers de feature USB-debugging in de instellingen van Outlook.com moeten uitschakelen. Deze feature geeft kwaadwillenden namelijk de mogelijkheid platte tekst uit apps op te vragen. Via deze weg zijn ook e-mailberichten uit Outlook.com in te zien.