Outlook-App sendet Mail-Logins an Microsoft

Die von uns vorgestellte Outlook-App geht mit den Zugangsdaten eingerichteter E-Mail-Konten nicht vertraulich um, sondern speichert diese auf Microsoft-Servern, behauptet der Sicherheitsforscher René Winkelmeyer.

Seine Begründung: Die Outlook-App stellt keine direkte Verbindung zum jeweiligen E-Mail-Server her, sondern leitet ein- und ausgehende Nachrichten über eigene Microsoft-Server weiter. Diese nutzen daraufhin den Benutzernamen und das Passwort, um die hinterlegten E-Mail-Konten nach neuen Nachrichten abzufragen und dann Push-Benachrichtigungen an den Nutzer zu senden – unabhängig davon, ob die App auf Smartphone, Tablet oder Desktop-PCs überhaupt aktiv ist, um die Abfrage einzuleiten, so Winkelmeyers Dokumentation.

Diese Art der Verbindung ist zwar nicht neu und steht so auch in den Nutzungsbedingungen der App, allerdings liest sich diese erstens kaum jemand durch und zweitens erwartet man dieses Verhalten nicht als Standardeinstellung von einer E-Mail-App eines namhaften Herstellers. Der Grund für die Vorgehensweise dürfte sein, dass die App nur indirekt von Microsoft stammt. Der Konzern hatte jüngst die Firma Acompli übernommen, die wohl die Konzeption der Outlook-App und somit auch deren Funktionsweise entwickelt hatte.

Wer den Microsoft-Servern die Login-Daten für seine E-Mail-Konten nicht übergeben will, muss allerdings mehr tun als die App einfach zu löschen. Vorab muss eine spezielle Einstellung in der App aktiviert werden: Dazu klickt man in den Kontoeinstellungen der App auf das eingerichtete E-Mail-Konto und scrollt im neuen Fenster ganz nach unten. Dort tippt man anschliessend auf "Konto vom Handy und Remote-Geräte entfernen". Sofern mehrere E-Mail-Konten eingerichtet wurden, muss dieser Schritt für alle Weiteren ebenfalls durchgeführt werden.

Gmail-Konten sind übrigens nicht so stark betroffen, da Google die Authorisierungsmethode OAuth nutzt, bei der das Passwort nicht übergeben wird.