یک نرم افزار اندروید که کاربران صنفی را قادر می سازد تا به سرور معاوضه کننده مایکروسافت ( MES ) خود متصل شوند اطلاعات سری کاربران را نیز فاش می کند، به نحوی که هکرها می توانند به راحتی به آن رمزها در قالب فایل های واضح متنی دسترسی یابند. 

سرور MES یک سرور تقویمی و پیام رسانی می باشد که توسط مایکروسافت ساخته شده و تنها با سرور ویندوز کار می کند. شرکت های تجاری معمولا از این سروردر کنار سرورهای خصوصی ایمیل خود استفاده می کنند. از دیگر کاربرد های این سیستم می توان به فراهم سازی امکان اجرای نسخه نرم افزار محلی شده Outlook با کمک مجموعه برنامه های آفیس 365 اشاره کرد.

کارمندان شرکتی که می خواهند با استفاده از گوشی های خود به سرورهای MES شرکت خود متصل شوند می توانند از یک نرم افزار ثالث با نام ناین که کار نرم افزار Outlook را در سیستم عامل اندروید انجام می دهد، استفاده کنند. این نرم افزار در میان کاربران اندروید محبوبیت بالایی دارد به این نحو که طبق آمار موجود در حال حاضر تعدادی بین 500,000 تا 1,000,000 نفر کاربر آن را بر روی دستگاه های خود نصب کرده اند.

محققان امنیتی موسسه Rapid7 پس از بررسی این نرم افزار دریافته اند که هنگامی که این برنامه از SSL/TLS برای رمز گذاری مکالمات صورت گرفته بین گوشی هوشمند کاربر و سرور MES استفاده می کند، مجوزهای دریافت شده SSL/TLS اعتبار سنجی نمی شوند.

این فقدان اعتبار یابی، علی رغم به کار گیری یک شیوه قوی رمز گذاری مکالمات، امکان هک شدن ارتباطات صورت گرفته توسط این نرم افزار را در اختیار اشخاص ثالث می گذارد به این ترتیب که یک هکر که از همان شبکه وای فای شرکتی استفاده می کند می تواند نقش یک واحد ذخیره کننده اطلاعات را بازی کند و ترافیک داده ها را ردیابی نماید.

محققان Rapid7 می گویند که زمانی که نرم افزار به سرور MES مایکروسافت متصل می شود، تایید ارتباط نیز می گردد. این جزییات به عنوان بخشی از درخواست های HTTPS ارسال می گردند که یک هکر می تواند آن ها را دریافت کند و رمزگشایی نماید زیرا گواهی های دروغین SSL/TLS در اختیار کاربر گذاشته می شود.

رمزها و اطلاعات سری کاربران سپس با استفاده از روش رمز گذاری Base64 فرستاده می شوند که به راحتی اطلاعات واقعی کارمندان را فاش می کنند و امکان ذخیره سازی آن ها نیز وجود دارد. 

محققان امنیتی می گویند به دلیل این که دو طرف این رابطه باید در یک شبکه وای فای شرکت داشته باشند این امکان برای هکر وجود دارد تا از طریق حمل یک هات اسپات متحرک وای فای به راحتی اطلاعات هر کاربری را که به شبکه او وصل می شود، دریافت کند.