Microsoft maakt haast met de omarming van mobile en cloud. Haastige spoed is echter zelden goed en Microsoft heeft met zijn nieuwe Outlook-app voor iOS en Android een basale beheerfout gemaakt. De app ‘kaapt’ mailverkeer van Exchange-gebruikers.
De maker van besturingssysteem Windows, mailclient Outlook en mailserver Exchange biedt iPhones, iPads en Android-apparaten tegenwoordig een volwaardige Outlook-app. Het heeft die gratis app niet zelf gemaakt, maar het eind vorig jaar overgenomen Acompli voorzien van de bekende Outlook-naam. De eerder door Microsoft uitgebrachte mail-app voor iOS en Android was slechts een doorvoerpoort naar de webinterface (OWA) voor Exchange-mailboxen.
Mails, attachments, log-ins
De nieuwe app, die krap twee maanden na de overname is uitgebracht, heeft echter een werkwijze waar ook wat op aan te merken valt. Het leidt Outlook-verkeer namelijk om via eigen servers die deze mogelijk gevoelige gegevens ook tijdelijk opslaan. Het gaat om mailberichten inclusief attachments, agenda-afspraken en zelfs gebruikersnamen en wachtwoorden voor de eigenlijke Exchange-servers van zakelijke gebruikers.
Het kleine en relatief onbekende Acompli deed dit al en het grote, door velen vertrouwde Microsoft zet dit voort met zijn omgedoopte app. Daarmee schendt het bekende Outlook de beleidsregels en de beveiliging van veel organisaties met eigen Exchange-servers.
Onder meer de de TU Delft en het Europese Parlement hebben de app inmiddels op de zwarte lijst gezet, waarbij hun beheerders de Exchange-servers zo hebben geconfigureerd dat die Outlook op iOS en Android weigeren.
