Gaia Bottà

Outlook, l'app non è sicura per il Parlamento Europeo

Conserva le chiavi di accesso alle email su server terzi: le password sono cifrate, ma risiedono là dove gli amministratori non possono esercitare l'opportuno controllo

Roma - Ai membri del Parlamento Europeo è stato impedito l'uso di Outlook formato app mobile: le modalità con cui vengono gestire le credenziali di accesso alle email renderebbero l'app incompatibile con la sicurezza nell'esercizio delle funzioni delle autorità del Vecchio Continente.

Recentemente rilasciata da Microsoft per terminali iOS e Android, frutto dell'acquisizione di Acompli, l'app Outlook consente di accedere al proprio account di posta elettronica e di gestire con semplicità la corrispondenza e gli appuntamenti in programma. Le garanzie di sicurezza offerte dall'applicazione, però, non sarebbero sufficienti: la Direzione generale "Innovazione e Supporto tecnologico" (DG ITEC) del Parlamento Europeo ne ha proibito l'utilizzo agli europarlamentari.

I tecnici dell'istituzione europea hanno avvertito i membri del Parlamento: "non installate questa applicazione - recita una email i cui stralci sono riportati da IDG News Service - e nel caso in cui l'abbiate già installata in abbinamento alla email del vostro contatto del Parlamento Europeo, per favore disinstallatela immediatamente e cambiate la vostra password". In una circolare diramata sulla intranet, si spiegano le motivazioni: l'applicazione invia le password a Microsoft senza aver chiesto consensi e conserverà le email su un servizio cloud su cui il Parlamento non ha possibilità di controllo.
La policy relativa alla privacy di Acompli, su cui gli stessi tecnici di Redmond dichiarano si basi l'app Outlook, confermano il fatto che le password, cifrate, vengano conservate sui propri server: nonostante Microsoft ritenga che il sistema rispetti gli standard di sicurezza a favore di utenti e organizzazioni, ciò non rappresenta evidentemente una garanzia per i tecnici delle istituzioni europee. Allo stesso modo, anche la University of Wisconsin-Madison e l'Università olandese di Delft hanno bloccato d'ufficio l'uso dell'app, "perché il rischio di abusi sui dati risulta troppo grande". Lasciare che l'app stocchi le chiavi d'accesso su server di altre aziende, aveva già avvertito il ricercatore di sicurezza Rene Winkelmeyer rivolgendosi agli amministratori IT, significa cedere la responsabilità a terzi e rinunciare ad avere il controllo sulla sicurezza degli account che si gestiscono.

Gaia Bottà
Notizie collegate
  • TecnologiaOffice, novità mobileMicrosoft annuncia la disponibilità di nuove app Office per terminali mobile, novità che includono anche Outlook. Sul fronte Windows 10, invece, si parla di Spartan e non solo
20 Commenti alla Notizia Outlook, l'app non è sicura per il Parlamento Europeo
Ordina
  • Salve vorrei fare un intervento su questo tema perché avendo letto la sezione sicurezza del sito Acompil https://www.acompli.com/security/ riguardo la memorizzazione delle credenziali nei loro server (nome utente e password) degli account di posta configurati nell'app, pare che non siano visibili alla compagnia perché la crittografia non avviene solo durante la trasmissione ma anche in fase di memorizzazione sul server, in particolare c'è scritto quanto segue:

    2. User Credential Security
    User credentials are required to access users’ data. Credentials come in the form of passwords for some server types such as Exchange, or limited-scope OAuth tokens for others such as Gmail. Each user’s credentials are double-encrypted using a server per-account unique key and then using a client device unique key, therefore the credentials can only be unlocked by the collaboration of both the server and the app at runtime.
    Ovvero usano due chiavi per crittografare e quindi decrittare le credenziali memorizzate, una in loro possesso e l'altra associata all'app outlook nella quale abbiamo aggiunto l'account di posta, sembra un “brutto tentativo” di adottare un sistema Zero-knowledge, brutto perché la crittografia non avviene lato client (nello smartphone o tablet su cui è installata l'app) ma comunque utilizza una chiave disponibile solo lato client, per questo motivo l'azienda (in teoria) non può vedere le nostre credenziali, con questo non voglio dire che sia un metodo sicuro solo lo Zero-knowledge lo è, però è meno grave di quanto sembri, non so se questa procedura sia stata introdotta dopo che i tecnici del parlamento europeo hanno posto il problema, piuttosto il problema di privacy si pone non per il fatto che possono vedere in chiaro la nostra password ma per il fatto che possono leggere le nostre mail, indirizzi ecc.. almeno è quello che ho capito leggendo questo:
    https://www.acompli.com/privacy-policy/

    Email Data. We collect and process your email messages and associated content to provide you the Service. Acompli does not use your email data for any other purpose. Your email data may contain messages, address book, contact information, message attachments and calendar information.
    Email Address. We collect and process your email address to provide you the Service, carry out transactions you authorize and communicate with you. For example, we may use your email address request feedback, provide updates and notifications regarding the Service. You may also control promotional emails from us by changing your account preferences or by following the instructions in those emails. If you opt out of those messages, you may still receive emails from us relating to your account and the Service (e.g., relating to product updates, password resets, etc.). These account communications are part of the Service, and account holders cannot opt out from receiving account communications.
    p.s. questo ragionamento vale per gli account non microsoft, nel senso che usando il client di posta microsoft (hotmail outlook ecc..) i messaggi di posta possono leggerli tranquillamente senza bisogno delle nostre credenziali , ma come dicono loro, solo in caso vi sia un concreto sospetto che l'utente proprietario dell'account stia compiendo azioni illegali o lesive della società
    non+autenticato
  • Eppure blackberry lo fa da sempre con il suo servizio blackberry mail. Premesso che si, è una grave compromissione della sicurezza.. Perché BB andava bene e Outlook no?
  • guardate che le credenziali vengono criptate prima di essere inviate, quindi chi ha detto che Outlook non è sicuro NON CAPISCE NULLA DI SICUREZZA INFORMATICA
    non+autenticato
  • - Scritto da: suc
    > guardate che le credenziali vengono criptate
    > prima di essere inviate, quindi chi ha detto che
    > Outlook non è sicuro NON CAPISCE NULLA DI
    > SICUREZZA
    > INFORMATICA

    Si ok, tu continua pure ad utilizzarlo e fidati... Deluso
  • Io no, io usa GMAILSecure, FaccialiborSecure e CinguettoSecure e sono Secure che nessuno mi guarda...
  • Guarda che l'unico che non capisce nulla sei tu.
    Il meccanismo creato da Accompli funge da proxy per mail, memorizzando le credenziali dell'utente e conseguentemente semplicemente autenticandosi e ricevendo ruoli di diritti di autorizzazione dell'utente, operando interamente per conto dell'utente. Che vengano inviate "criptate" come dici tu (immagino tu parli di ssl) cosa c'entrerebbe? Se io ti mando la mia password in ssl te la mando comunque, tu poi la vedi in chiaro.
    Per cui le credenziali dell'utente sono compromesse per definizione, non è oggetto di discussione se sia vero o falso, è vero per definizione stessa del servizio.

    Ti ricordo che molte applicazioni che operavano in tal modo (chiedendo e memorizzando le credenziali utente per accedere a servizi sottostanti, invece di esporre a front end le api di autenticazione) sono state rimosse da AppStore per ragioni di sicurezza; basta un minimo di controllo per capire la pericolosità di un sistema simile.

    Ch il servizio sia semplicemente idiotico e pericoloso lo capisce pure un bambino.
    Ma se poi non riesci neppure a capire di cosa si stia parlando forse è meglio che tu eviti di scrivere baggianate e che ti occupi di altro

    - Scritto da: suc
    > guardate che le credenziali vengono criptate
    > prima di essere inviate, quindi chi ha detto che
    > Outlook non è sicuro NON CAPISCE NULLA DI
    > SICUREZZA
    > INFORMATICA
    non+autenticato
  • per sicurezza bisognerebbe tenere gli spyphone disconnessi da Internet, per impedire che facciano ciò per cui sono stati progettati: spiare e fornire pubblicità mirata.

    Non credo che qualsiasi altra "app" possa definirsi sicura.

    Ormai anche il software "open source" non è più una garanzia (vedi Android, Ubuntu, sourceforge...)
    non+autenticato
  • - Scritto da: debianaro
    > per sicurezza bisognerebbe tenere gli spyphone
    > disconnessi da Internet, per impedire che
    > facciano ciò per cui sono stati progettati:
    > spiare e fornire pubblicità
    > mirata.
    >
    > Non credo che qualsiasi altra "app" possa
    > definirsi
    > sicura.
    >
    > Ormai anche il software "open source" non è più
    > una garanzia (vedi Android, Ubuntu,
    > sourceforge...)

    "il software "open source" non è più una garanzia" di cosa?
  • >"il software "open source" non è più una garanzia" di cosa?

    garanzia di assenza di adware e spyware (cosa molto diffusa nel software proprietario, specialmente nei freeware)
    non+autenticato
  • - Scritto da: debianaro
    > >"il software "open source" non è più una
    > garanzia" di
    > cosa?
    >
    > garanzia di assenza di adware e spyware (cosa
    > molto diffusa nel software proprietario,
    > specialmente nei
    > freeware)

    Ok, allora tu continua a fidarti pure delle applicazioni *proprietarie*
    e *chiuse* che circolano... Deluso
  • - Scritto da: sentinel
    > - Scritto da: debianaro
    > > >"il software "open source" non è più una
    > > garanzia" di
    > > cosa?
    > >
    > > garanzia di assenza di adware e spyware (cosa
    > > molto diffusa nel software proprietario,
    > > specialmente nei
    > > freeware)
    >
    > Ok, allora tu continua a fidarti pure delle
    > applicazioni
    > *proprietarie*
    > e *chiuse* che circolano... Deluso

    Ma infatti...
    Guarda quanta roba closed pronta da scaricare: softonic.it/
    non+autenticato
  • Sarebbe interessante se Microsoft fornisse i motivi tennici di tale scelta...
    non+autenticato
  • - Scritto da: Fogin Laied
    > Sarebbe interessante se Microsoft fornisse i
    > motivi tennici di tale
    > scelta...

    Lo dice la legge americana: M$ e' tenuta a fornire a NSA l'accesso alla posta elettronica di chiunque e sempre per legge deve negarlo spudoratamente se qualcuno domanda.
  • Di grazia, ci fornisca il link a tale legge
  • - Scritto da: Gianluca70
    > Di grazia, ci fornisca il link a tale legge

    DMCA
  • - Scritto da: Fogin Laied
    > Sarebbe interessante se Microsoft fornisse i
    > motivi tennici di tale
    > scelta...
    la risposta tennica e' +- sempre la stessa.... e' la comodita' del clAud bellezza...

    "
    Note that this is still noted in the Acompli privacy policy: https://www.acompli.com/privacy-policy/
    “We provide a service that indexes and accelerates delivery of your email to your device. That means that our service retrieves your incoming and outgoing email messages and securely pushes them to the app on your device.
    Similarly, the service retrieves the calendar data and address book contacts associated with your email account and securely pushes those to the app on your device. Those messages, calendar events, and contacts, along with their associated metadata, may be temporarily stored and indexed securely both in our servers and locally on the app on your device. If your emails have attachments and you request to open them in our app, the service retrieves them from the mail server, securely stores them temporarily on our servers, and delivers them to the app.”
    and
    ” If you decide to sign up to use the service, you will need to create an account. That requires that you provide the email address(es) that you want to access with our service. Some email accounts (ones that use Microsoft Exchange, for example) also require that you provide your email login credentials, including your username, password, server URL, and server domain. Other accounts (Google Gmail accounts, for example) use the OAuth authorization mechanism which does not require us to access or store your password.”

       # Jon Orton - MSFT
        @larrycl – Yes, that architecture remains in place with the new app. It uses CLOUD components to improve app performance and enable some features, such as predictive search, recent attachments, and large attachment handling.
    "
    non+autenticato
  • - Scritto da: Fogin Laied
    > Sarebbe interessante se Microsoft fornisse i
    > motivi tennici di tale
    > scelta...

    sono i protocolli di sicurezza che funzionano così
    non+autenticato
  • E chi avrebbe scritto tali protocolli?
    non+autenticato
  • ehi, Gianluca70, sei per caso della NSA o similari?
    Oppure lavori alla M$ e compagnia?
    Altrimenti i tuoi commenti sono incomprensibili.
    non+autenticato
  • Temo tu abbia sbagliato a rispondere...
    non+autenticato