Microsoft Apps – mediaTest digital warnt vor Schwachstelle

Das deutsche App-Sicherheitsunternehmen mediaTest digital weist auf Basis seiner aktuellen Sicherheitsprüfungen der Microsoft Apps auf eine Schwachstelle hin, die zu empfindlichem Datenverlust führen kann. Folgende iPad-Apps sind in ihrer jeweils aktuellen Version von der Schwachstelle betroffen, die unerlaubten Zugriff auf die Microsoft-Nutzerkonten ermöglichen:

• Microsoft Word
• Mircrosoft Excel
• Microsoft PowerPoint
• Microsoft Teams
• Microsoft Skype for business
• Microsoft Sharepoint
• Microsoft OneDrive
• Microsoft OneNote
• Microsoft Yammer
• Microsoft Whiteboard
• Microsoft Power Bi

Im Rahmen der Sicherheitsprüfungen für die Kunden seiner App-Security-Lösung „APPVISORY“ hat mediaTest digital festgestellt, dass einige Daten, die über die genannten Microsoft Apps genutzt und ausgetauscht werden, mit geringem Aufwand mitgelesen werden können. Grund dafür ist ein Problem mit einem Schutzmechanismus namens „Certificate Pinning“, der heutzutage in nahezu allen Apps eingesetzt wird, um sogenannte Man-In-The-Middle-Attacken (das ungewollte Mitlesen des Netzwerkverkehrs) zu verhindern. In den oben genannten Apps konnten die Analysten somit per „Man-In-The-Middle“-Attacke auf die Microsoft Zugangsdaten zugreifen und sich damit Zugang zu den Nutzerkonten verschaffen, die sich zum Zeitpunkt der Prüfung im selben WLAN befinden. Die Microsoft-Nutzerkonten können diverse sensible Daten enthalten, die aufgrund der Schwachstelle in falsche Hände geraten, wie z.B. Name, Adresse, Telefonnummer, Email-Adresse, OneDrive Zugangsdaten, Bezahlmethoden, Geburtstag, Kalender, Adressbuch sowie bei Nutzung von Windows10 oder anderer Microsoft Apps wie dem Launcher auf Bitlocker Verschlüsselungs-Keys, Suchverläufe oder Standorte. Da das Microsoft Konto oft auch als „Single-Sign-On“-Dienst (SSO) für andere Seiten genutzt wird, entsteht eine zusätzliche Gefahrenquelle durch fremdes Einloggen auf den verbundenen Seiten. Die iPhone-Versionen der genannten Apps nutzen den „Certificate Pinning“ Schutzmechanismus korrekt und sind daher nicht betroffen. mediaTest digital hat diese Schwachstelle mehrfach offiziell an Microsoft gemeldet, doch das Unternehmen erklärt, dass es sich aus seiner Sicht nicht um eine Sicherheitslücke handelt. Im Hinblick auf den aktuellen Stand der Technik und den Anspruch an gängige Datenschutz- und Datensicherheitsstandards halten die Sicherheitsexperten von mediaTest digital es für falsch, die Verfügbarkeit dieses Schutzmechanismus nicht flächendeckend zu gewährleisten. Das Hannoveraner Unternehmen warnt daher vor dem Einsatz der genannten iPad-Apps und generell vor jeder App, die auf „Certificate Pinning“ verzichtet oder dies fehlerhaft implementiert, sobald schützenswerte Daten in der App verarbeitet werden. Zusätzlich sollte regelmäßig geprüft werden, dass sich auf den Mobilgeräten keine Zertifikate unbekannter Herkunft befinden. Wer wissen möchte, welche anderen Apps ähnliche Schwachstellen aufweisen, dem sei der Zugang zum App-Auskunftsportal APPVISORY ans Herz gelegt, den mediaTest digital während der Corona-Krise kostenlos zur Verfügung stellt.