Videó: Microsoft Outlook App для iOS\Android (November 2024)
Ha az Android alkalmazást használja az Outlook.com e-mailek olvasására és küldésére, az e-mail mellékleteket nem menti biztonságosan. A Microsoft szerint a titkosítás nem az alkalmazás felelőssége.
Az Include Security kutatói fordítottan megtervezték a Microsoft Android kliensét az Outlook.com számára, és azt találták, hogy az e-mail mellékleteket titkosítatlanul tárolják az eszköz SD-kártyáján - írta Paolo Soto kutató a cég blogjában a múlt héten. Ezeket a fájlokat bármilyen alkalmazás el tudja olvasni, amely hozzáféréssel rendelkezik az SD-kártyához. Bárki beugrani az SD-kártyát egy másik eszközbe, és elolvashatja a tartalmat.
Van valaki a déjà vu érzéséről? A hónap elején az Apple kritizálta, amikor kiderült, hogy az e-mail mellékleteket nem folyamatosan titkosították az iOS-eszközökön. Az a tény, hogy a mellékleteket nem titkosították az iOS rendszeren, vörös zászlókat hozhat fel azoknak a vállalatoknak és kormányoknak, amelyek alkalmazottai hozzáférnek a munkaeszközökhöz a mobil eszközökön. Az iOS problémájának korlátozott hatása volt, mivel az eszköz jelszava elrettentő eszközként működött. Ebben az esetben azonban, ha az alkalmazás menti a fájlokat az SD-kártyára, nincs olyan akadály, amely a támadókat távol tartja.
Érdemes megjegyezni, hogy sok más alkalmazás fájlokat tárol az SD-kártyán anélkül, hogy először titkosította volna őket. "Bár nem ideális, ez minden bizonnyal a legtöbb alkalmazás számára, amely adatokat tárol az SD kártyán" - mondta Andrew Hoog, a viaForensics vezérigazgatója és társalapítója. A cég a múltban figyelmeztette az alkalmazásfejlesztőket, mondta.
Tartalmazza a Biztonság által elismert más üzenetküldő alkalmazásokat, amelyek hasonló viselkedést mutatnak. "Szeretnénk fokozni a felhasználók figyelmét a mobiltelefon-fájlrendszer titkosításának nagyobb kérdésére, amely az adatvédelem szükségessége" - mondta Erik Cabetas, az Include Security ügyvezető partnere.
Ez az alkalmazás feladata?
A SecurityWatch szolgáltatásban gyakran emlékeztetjük az olvasókat arra, hogy engedélyezzék a kódot vagy a PIN-kódot, hogy megvédjék adataik tartalmát abban az esetben, ha eszközük elveszik vagy ellopják. Az a tény, hogy egy tolvaj egyszerűen felugrhatja az SD kártyát egy másik eszközre, és láthatja az e-mail adatait, teljesen megsemmisíti azt az elvárást, hogy a fizikai eszköz biztonsága megakadályozza a támadókat az adatainktól. A kérdés azonban egyszerű: az alkalmazás feladata az adatok titkosítása, vagy a felhasználó feladata?
Soto szerint a Microsoft azt mondta az Include Security számára, hogy "a felhasználóknak nem szabad feltételezniük, hogy az adatok alapértelmezés szerint bármilyen alkalmazásban vagy operációs rendszerben titkosítva vannak, kivéve, ha erre kifejezetten ígéretet tettek."
Soto szerint a fordítottnak kell lennie, mivel a felhasználóknak ésszerű feltételezni, hogy az alkalmazás megnyitásához bevitt PIN-kód védi üzenetük bizalmas jellegét. "Az alkalmazásgyártók legalább figyelmeztethetnek egy felhasználót, és javasolhatják, hogy titkosítsák a fájlrendszert, mivel az alkalmazás nem garantálja a titoktartást" - mondta Soto.
"Azok az ügyfelek, akik e-mailjeiket titkosítani akarják, átjárhatják telefonos beállításaikat és titkosíthatják az SD-kártya adatait" - mondta a Microsoft szóvivője a SecurityWatch-nek.
Sajnos ez "általános viselkedésnek tűnik, amelyet gyakran látunk" - mondta Kevin Watkins, az Appthority főépítész és társalapítója. Bármikor, amikor a személyes adatokat helyben tárolják az eszközön, általában a támadó fér hozzá. A probléma az, hogy még ha az alkalmazásfejlesztők biztosítékokat is végrehajtanak, egy elég határozott vagy kitartó támadó továbbra is visszafejteni tudja az adatokat - jegyezte meg Watkins.
A Microsoft elmondta a SecurityWatch-nek, hogy az egyik alkalmazás adatait a sandbox funkció miatt az Android más alkalmazásai illegálisan nem férhetnek hozzá. Ez igaz, ha az alkalmazás a mellékleteket az alkalmazás adatkönyvtárában tárolja, és nem az SD-kártyán. Amint Hoog megjegyezte, ez túl sok helyet foglalhat el, ezért a fejlesztők inkább az SD-kártyát használják.
Az alkalmazás ideiglenesen letölthet fájlokat a / tmp könyvtárba, ami azt jelentené, hogy a felhasználóknak minden alkalommal le kell tölteniük a fájlt - mondta Hoog. De ennek a döntésnek megvannak a maga hibái.
Ki érintett?
A legtöbb fogyasztó nem feltétlenül szembeszáll a magánélet védelmével kapcsolatos következményekkel, de a rájuk gyakorolt hatás "viszonylag csekély" - mondta Maxim Weinstein, a Sophos biztonsági tanácsadója.
A legnagyobb kihatással azokra a szervezetekre, amelyek az Outlook.com szolgáltatást használják, és e-mailben küldnek nagy értékű adatokat. Weinstein szerint azonban már használnák a mobil eszközkezelő szoftvereket és más eszközöket az adatok megfelelő védelme érdekében.
Legalább a felhasználóknak már titkosítaniuk kell az SD-kártya adatait, hogy valaki ne csak ellopja a kártyát, és olvassa el a fájlokat.
A Biztonság beépítése más javaslatokkal is szolgál: Kapcsolja ki az USB-hibakeresést az Android-eszközön a Beállítások-fejlesztői beállítások menüben. Változtassa meg az e-mail mellékletek alapértelmezett letöltési könyvtárát az SD-kártyától eltérő helyre (/ sdcard / external_sd). Ilyen módon, még akkor is, ha az eszközt elveszik vagy ellopták, az adatokat a készülék PIN-kódja vagy jelszava mögött védik, és nem szabad kitéve.
Más mobil biztonsági magatartások is érvényesek, például a megbízható alkalmazásboltoktól eltérő forrásokból származó alkalmazások elkerülése, a mobil biztonsági szoftverek telepítése és az eszköz jelszóvédelme.
- Próbáljon meg ne veszíteni a telefont - mondta Watkins.
