Разработчик мобильных приложений для IBM Рене Финкельмайер рассказал в своем блоге о нескольких потенциальных уязвимостях в новом приложении Outlook для iOS.

Финкельмайер остановил работу приложения на смартфоне, но оно все равно продолжало присылать push-уведомления о новых входящих письмах. Из этого следует, что оно хранит логин и пароль пользователя на своем сервере, а не в локальной памяти, что должно вызвать обеспокоенность корпоративных пользователей.

Кроме этого, в приложение интегрирована поддержка облачных хранилищ OneDrive, Dropbox и Диск Google, а это открывает возможности для заражения вирусами корпоративных почтовых серверов. И наконец, в Outlook используется один и тот же идентификатор клиента ActiveSync для iPhone и iPad, что также не одобрят некоторые корпоративные службы IT-безопасности.

Финкельмайер советует Microsoft отказаться от push-уведомлений и использовать в Outlook fetch-уведомления, при которых личные данные хранятся не на удаленном сервере, а непосредственно на устройстве. Он также выяснил, что проблемы безопасности достались новому Outlook в наследство от приложения Acompli, в пользовательском соглашении которого указано, что логины и пароли аккаунтов, а также переписка, вложенные файлы и информация из календаря и телефонной книги могут храниться на удаленном сервере.