Oh Nine! Mail-Client für Android anfällig für Man-in-the-Middle-Angriff

nineSolltet ihr auf die „Outlook für Android“-Alternative Nine setzen, dann könntet ihr unter Umständen einmal schauen, dass ihr eure Updates einspielt. Den Sicherheitsforschern von Rapid7 ist es nach eigenen Aussagen gelungen der App Zugangsdaten für Exchange Server zu entlocken. Die Entwickler von Nine haben bereits einen Patch in den Google Play Store gebracht, da sie im Vorfeld auf den Fehler aufmerksam gemacht wurden. Der Angriff, der auf der Webseite von Rapid7 beschrieben ist, setzt natürlich Gesichtspunkte voraus, so muss sich der Angreifer in eurem Netzwerk befinden – oder ihr in seinem. Via Man-in-the-Middle-Angriff kann er so den Datenverkehr zu einem entfernten Exchange-Server mitschneiden.

rapid7_disclosure_nine-jpg

Die Möglichkeit, in das gleiche Netz zu kommen, ist laut der Sicherheitsforscher trivial. Man setze ein offenes Netzwerk auf und warte einfach, dass sich ein Nine-Benutzer mit diesem verbindet und Mails abfragt. Der Angreifer könnte den Traffic über seinen Server mit eigenen Zertifikaten leiten. Dann könnte er die Anmeldeinformationen des Opfers auslesen, da diese im HTTPS Authentifizierungs-Header standen – zumindest bis zur alten Version.

Dies aber gehört nun der Vergangenheit an, man sollte als Nutzer also auf die aktuelle Version wechseln. Nine 3.1.0 bringt zudem noch Multi-Factor Authentication (MFA), RSA SecurID und die Office 365 modern authentication mit. Nine hat im Play Store 4,5 Sterne und bislang zwischen 500,000 – 1,000,000 Bewertungen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

13 Kommentare

  1. Immerhin sind die Jungs schnell beim fixen. Auch wenn man selber Bugs via E-Mail hin schickt, bekommt man in der Regel sehr schnell eine Rückfrage und gegebenenfalls einen Bugfix. Bin heilfroh mir das Tool gekauft zu haben, ist sein Geld allemal wert.

  2. bin auch höchst zufrieden

  3. Ich denke die App hat zwischen 500.000 und 1.000.000 Installationen (nicht Bewertungen!) und steht momentan bei 19.262 Bewertungen. Aber das nur nebenbei 😉

  4. Ja 1M Bewertungen wäre ziemlich heftig

  5. Alexander Mauß says:

    Nutze ebenfalls das Programm, um meinen exchange account abzurufen. hatte am anfang einige rückfragen bzgl. der Sicherheit, die auch prompt und individuell beantwortet worden sind. Ist/war eine gute Investition!

  6. Ich nutze die App mit meinem Outlook.com Account. Hier kann ich alles per Push abdecken, Kalender, Mails, Aufgaben und sogar Notizen.
    Für Outlook als Service ist die App 1a

  7. Karl Kurzschluss says:

    Was kann das denn besser als der Outlook-Client für Android von Microsoft?

  8. @Karl: Der Outlook-Client leitet alle Anfragen über einen MS-Server in Amerika. Dieser Fremdserver ruft deine Mail ab und speichert die in den Staaten! Nicht sehr sympatisch für Geschäftsmails.

    Allerdings unterstützt Android Exchange doch nativ über die normale MailApp. Den Bedarf für Zusatzsoftware sehe ich da irgendwie nicht.

  9. Alexander Mauß says:

    @Daniel: Ich hatte mit der nativen App (Moto G 3, Android 6.0) immer mal wieder Probleme und hatte mich deswegen nach einer Alternative umgesehen…
    Und ja, da einige mögliche Alternativen zwischengeschaltete Server nutzen (ausschlusskriterium), habe ich mich für nine entschieden.

  10. Super App. Tolle Darstellung, super Integration, gute Umsetzung der Signaturoptionen, würde ich sofort wieder kaufen.

  11. hab mein hotmail einfach in der gmail app per exchange, wozu braucht man eine extra email app? o0

  12. @Walter White

    Die Gmail App ist halt Scheisse, Die kann nichts: kein Kalender, keine Aufgaben und ist auch sonst nicht wirklich gut.

    Aber der Bock den Nine da geschossen hat, der ist schon heftig. Da frage ich mich was die sonst noch in Sachen Sicherheit verbockt haben…

  13. @Caschy
    Das mit den „zwischen 500,000 – 1,000,000 Bewertungen“ liest sich echt doof. Klar kann passieren, aber es sind keine 20.000 …