مشکلات امنیتی Outlook مایکروسافت در نسخه اندروید و iOS، تهدیدی جدی برای سازمان ها

مایکروسافت روز گذشته اپلیکیشن Outlook را برای سیستم عامل های اندروید و iOS‌ عرضه کرد. مایکروسافت در ماه دسامبر سال 2014 سرویس ایمیلی را تحت عنوان Acompli خریداری نمود و حالا بعد از کمی تغییرات و جابه جایی نام تجاری، آن را با برند خود برای پلتفرم موبایل معرفی کرده و از طریق Google Play به صورت رایگان در اختیار کاربران قرار داده است. با این وجود آقای René Winkelmeyer یکی از کارشناسان توسعه نرم افزار شرکت IBM ، به این موضوع اشاره داشته که این اپلیکیشن چند مشکل امنیتی جدی را برای شرکت هایی که قصد استفاده از آن را دارند، به همراه دارد و آنها باید دسترسی کاربران سازمانی خود را سریعا از آن قطع کنند. شاید بتوان بزرگترین مسئله امنیتی کشف شده در این اپلیکیشن را مربوط به دسترسی مایکروسافت به اکانت ایمیل کاربران (یعنی نام کاربری و رمز عبور) دانست. در این میان فقط ایمیل های Gmail ، چون به تائیدیه OAuth نیاز دارند ، اطلاعات اکانت ایمیل کاربران را در اختیار نمی گذارند ولی به طور مثال ایمیل هایی که مبتنی بر پروتکل Exchange مایکروسافت می باشند، به این مشکل امنیتی دچارند.

مشکل بزرگ امنیتی دیگری که باید به آن اشاره کنیم، مربوط به طرز عملکرد سرور های مایکروسافت هنگام انتقال ایمیل ها می باشد. در این فرآیند ایمیل های ارسالی به منظور رعایت ایمنی، برای مدتی در این سرور ها نگهداری شده و سپس به کاربر مورد نظر تحویل داده می شود. یعنی سرور ها به عنوان یک شخص سوم اقدام به بررسی محتوای بعضا خصوصی و محرمانه شرکت ها می کنند. این رهگیری ایمیل ها ممکن است برای شرکت هایی که دوست ندارند اطلاعات آنها به سادگی بین سازمان های دولتی دیگر به اشتراک گذاشته شوند، بسیار نگران کننده باشد. از طرف دیگر اپلیکیشن Outlook عرضه شده برای سیستم عامل های اندروید و iOS‌ ، اطلاعات تماس و تقویم را هم در اختیار می گذارند. سومین مسئله امنیتی که آقای Winkelmeyer به آن اشاره کرده مربوط به یکپارچه بودن این اپلیکیشن با سرویس های OneDrive ،Dropbox و Google Drive است که به سادگی به کاربران سازمانی اجازه می دهد تا داده های محرمانه را با دیگران به اشتراک بگذارند. حتی بدتر از این هم می تواند اتفاق بیافتد مثلا انتشار فایل هایی که بدافزار هایی را با خود به همراه دارند! البته باید به این موضوع اشاره کرد که برخی از این مشکلات عنوان شده مربوط به سرویس Acompli است که هنوز برنامه ای از سوی مایکروسافت در جهت برطرف کردن آنها مشاهده نشده است. شاید بهتر بود مایکروسافت قبل از عرضه و تغییر برند سریع این سرویس ، مشکلات موجود در آن را که اتفاقا به خوبی هم از آنها مطلع بوده، مورد بازبینی و اصلاح قرار می داد. احتمال دیگری که وجود دارد این است که شاید مایکروسافت دوست داشته باشد به اطلاعات محرمانه سازمان ها دسترسی پیدا کند! به هر حال باید منتظر شد و دید که عکس العمل مایکروسافت در قبال این مشکلات امنیتی چه خواهد بود؟