Video: Microsoft Outlook App для iOS\Android (Octombrie 2024)
Dacă utilizați aplicația Android pentru a citi și a trimite un e-mail de la Outlook.com, atașamentele de e-mail nu sunt salvate în siguranță. Microsoft susține că criptarea nu este responsabilitatea aplicației în primul rând.
Cercetătorii de la Include Security au creat clientul Microsoft Microsoft pentru Outlook.com, care a descoperit că atașamentele de e-mail sunt stocate necriptate pe cardul SD al dispozitivului, a scris cercetătorul Paolo Soto săptămâna trecută pe blogul companiei. Aceste fișiere pot fi citite de orice aplicație care are acces la cardul SD. Oricine poate deschide cardul SD într-un alt dispozitiv și poate citi conținutul.
Un sentiment de déjà vu, cineva? La începutul acestei luni, Apple a fost criticată când s-a dovedit că fișierele atașate la mail nu au fost în mod constant criptate pe dispozitivele iOS. Faptul că fișierele atașate nu sunt criptate pe iOS poate ridica stegulețe roșii pentru corporațiile și guvernele care au angajați care accesează datele de lucru pe dispozitivele mobile. Problema iOS a avut un impact limitat, deoarece parola de dispozitiv a funcționat ca un element de descurajare. În acest caz, însă, dacă aplicația salvează fișierele de pe cardul SD, nu există niciun blocaj rutier care să-i țină pe atacatori departe.
Este demn de remarcat faptul că multe alte aplicații stochează fișiere pe cardul SD fără a le cripta mai întâi. "Deși nu este ideal, aceasta este cu siguranță norma pentru majoritatea aplicațiilor care stochează date pe cardul SD", a declarat Andrew Hoog, CEO și co-fondator viaForensics. Compania a alertat dezvoltatorii de aplicații în trecut, a spus el.
Include Securitate recunoscut alte aplicații de mesagerie prezintă un comportament similar. "Vrem să creștem gradul de conștientizare a utilizatorilor cu privire la problema mai mare de criptare a sistemelor de fișiere pentru telefoane mobile fiind o necesitate pentru confidențialitatea datelor", a declarat Erik Cabetas, partener de gestionare la Include Security.
Este jobul aplicației?
La SecurityWatch, reamintim frecvent cititorilor să activeze o parolă sau un cod PIN pentru a proteja conținutul datelor lor în cazul în care dispozitivul lor va fi pierdut sau furat vreodată. Faptul că un hoț poate doar să introducă cardul SD într-un dispozitiv diferit și să vadă datele de e-mail anulează întreaga așteptare că securizarea dispozitivului fizic îi va scoate pe atacatori din datele noastre. Întrebarea este însă simplă: este de datoria aplicației să cripteze datele sau ale utilizatorului?
Potrivit Soto, Microsoft a declarat pentru Include Security că „utilizatorii nu ar trebui să presupună că datele sunt criptate în mod implicit în orice aplicație sau sistem de operare, decât dacă s-a făcut o promisiune explicită în acest sens."
Soto a spus că inversul ar trebui să fie cazul, deoarece este rezonabil ca utilizatorii să își asume codul PIN pe care îl introduc pentru a deschide aplicația protejează, de asemenea, confidențialitatea mesajelor lor. "Vreau cel puțin vânzătorii de aplicații să avertizeze un utilizator și să sugereze criptarea sistemului de fișiere, deoarece aplicația nu oferă nicio asigurare de confidențialitate", a spus Soto.
"Clienții care doresc să cripteze e-mailul pot parcurge setările telefonului și cripta datele cardului SD", a declarat pentru SecurityWatch un purtător de cuvânt al Microsoft.
Din păcate, acesta pare a fi „un comportament comun pe care îl vedem des”, a spus Kevin Watkins, arhitect șef și cofondator al Appthority. Oricând datele private sunt stocate local pe dispozitiv, acestea sunt în general accesibile de către un atacator. Problema este că, chiar dacă dezvoltatorii de aplicații implementează garanții, un atacator care este suficient de hotărât sau de tenac poate încă decripta datele, a observat Watkins.
Microsoft a declarat pentru SecurityWatch că datele dintr-o aplicație nu pot fi accesate în mod ilegal de alte aplicații de pe Android din cauza funcției sandbox. Acest lucru este adevărat dacă aplicația stochează atașamente în directorul de date al aplicației și nu pe cardul SD. După cum a menționat Hoog, acesta poate ocupa prea mult spațiu, motiv pentru care dezvoltatorii folosesc în schimb cardul SD.
Aplicația poate descărca temporar fișierele în directorul / tmp, ceea ce ar însemna că utilizatorii trebuie să descarce fișierul de fiecare dată, a spus Hoog. Dar această decizie are propriile capcane.
Cine este afectat
Este posibil ca majoritatea consumatorilor să nu fie sănătoși în legătură cu implicațiile de confidențialitate, dar impactul asupra acestora este „relativ minor”, a declarat Maxim Weinstein, consilier în securitate la Sophos.
Cele mai mari implicații sunt pentru organizațiile care folosesc Outlook.com și trimit date de înaltă valoare prin e-mail. Cu toate acestea, ar trebui să folosească deja software de gestionare a dispozitivelor mobile și alte instrumente pentru a se asigura că datele sunt protejate corespunzător, a spus Weinstein.
Cel puțin, utilizatorii ar trebui să cripteze deja datele cardului SD, astfel încât cineva să nu poată doar să fure cardul și să citească fișierele.
Includeți securitatea au avut alte recomandări: opriți depanarea USB pe dispozitivul Android accesând Setări-Opțiuni pentru dezvoltatori. Modificați directorul de descărcare implicit pentru atașamente de e-mail în altă locație decât cardul SD (/ sdcard / external_sd). În acest fel, chiar dacă dispozitivul este pierdut sau furat, datele sunt protejate în spatele codului PIN sau al parolei dispozitivului și nu sunt expuse.
Se aplică alte comportamente de securitate mobilă, cum ar fi evitarea aplicațiilor din surse, altele decât magazinele de aplicații de încredere, instalarea software-ului de securitate mobilă și protejarea cu parolă a dispozitivului.
- Încercați să nu vă pierdeți telefonul, a spus Watkins.
