Tom Wyckhuys en Sander Vanrapenbusch, securityonderzoekers bij The Security Factory, ontdekten het probleem. Door een code toe te voegen aan een mail, kunnen ze de volledige mailthread ontvangen als deze wordt doorgestuurd naar andere ontvangers.

"We hebben het per toeval ontdekt," vertelt Sander Vanrapenbusch van The Security Factory aan Data News. "We waren een payload (stukken code, nvdr) heen en weer aan het sturen en we merkten dat die mails op een smartphone abnormaal werden weergegeven, waarom we dat dieper hebben onderzocht."

"Al snel werd duidelijk dat het specifiek om de Outlook app voor Android ging en zagen we dat je er netwerkverkeer mee kon genereren en uiteindelijk e-mails mee kon uitlezen." In praktijk gaat het om cross-site scripting (XSS), waarbij speciale code in een mail (gestuurd door de aanvaller) door de Outlook-app wordt geïnterpreteerd als een uit te voeren handeling. Dat zorgt voor een soort tunnel waardoor de nadien doorgestuurde mail ook bij de aanvaller terechtkomt.

"De kwetsbaarheid is niet enkel te misbruiken om emailthreads af te luisteren, ze kan ook worden ingezet voor phishing. Het slachtoffer hoeft zelfs nergens op te klikken, alles gebeurt zodra de mail wordt geopend."

Het lek werd in november al ontdekt, maar Wyckhuys en Vanrapenbusch hebben gewacht om hun bevinding bekend te maken tot Microsoft de Outlook-app kon updaten. "Microsoft heeft na twee maanden het probleem erkend en heeft vervolgens zes maanden gewerkt aan een oplossing, die is nu uitgestuurd.

De kwetsbaarheid heeft de code CVE-2019-1105 meegekregen. Daarin worden de twee Belgische onderzoekers genoemd als ontdekkers. Microsoft vermeldt ook drie andere namen, onder meer van CyberArk en F5 Networks. Mogelijk hebben zij hetzelfde probleem ontdekt tussen de eerste melding en de oplossing van Microsoft.

Voor wie Outlook op Android gebruikt, volstaat het om de app te updaten. Dat kan door via de Play Store van links naar rechts te swipen, daar 'mijn apps en games' aan te tikken en de Outlook-app te updaten.