Video: Microsoft Outlook App для iOS\Android (Oktober 2024)
Če za branje in pošiljanje e-pošte z Outlook.com uporabljate aplikacijo Android, e-poštne priloge ne varno shranjujete. Microsoft trdi, da šifriranje v prvi vrsti ni odgovornost aplikacije.
Raziskovalci podjetja Embes Security so Microsoftov odjemalec Android za Outlook.com zasnovali in ugotovili, da so e-poštne priloge shranjene nešifrirane na SD kartici naprave, je prejšnji teden na svojem podjetju zapisal raziskovalec Paolo Soto. Te datoteke lahko bere katera koli aplikacija, ki ima dostop do kartice SD. Kdorkoli lahko pokaže SD kartico v drugo napravo in prebere vsebino.
Imate občutek za déja vu, kdo? V začetku tega meseca so Apple kritizirali, ko se je izkazalo, da priloge e-pošte niso dosledno šifrirane na napravah iOS. Dejstvo, da priloge niso šifrirane v iOS-u, lahko povzroči rdeče zastave korporacijam in vladam, ki imajo zaposlene, ki dostopajo do delovnih podatkov na mobilnih napravah. Izdaja iOS je imela omejen vpliv, saj je geslo naprave delovalo kot odvračilno sredstvo. V tem primeru pa, če aplikacija shranjuje datoteke na kartico SD, ni ovire, ki bi napadalce držala stran.
Omeniti velja, da številne druge aplikacije shranjujejo datoteke na SD kartico, ne da bi jih najprej šifrirale. "Čeprav ni idealno, je to zagotovo pravilo za večino aplikacij, ki shranjujejo podatke na kartico SD, " je dejal Andrew Hoog, izvršni direktor in soustanovitelj viaForensics. Podjetje je razvijalce aplikacij opozarjalo že v preteklosti, je dejal.
Vključi varnostno priznane druge aplikacije za sporočila imajo podobno vedenje. "Želimo povečati ozaveščenost uporabnikov, da je večje vprašanje šifriranja datotečnih sistemov mobilnih telefonov nujno zaradi zasebnosti podatkov, " je dejal Erik Cabetas, upravljavec partnerja pri vključevanju varnosti.
Je to delo App?
Na SecurityWatch bralce pogosto opozarjamo, da omogočijo geslo ali kodo PIN za zaščito vsebine svojih podatkov v primeru, da se njihova naprava kdaj izgubi ali ukrade. Dejstvo, da lahko tat samo prikaže SD kartico v drugo napravo in poglej poštne podatke, izniči celotno pričakovanje, da bi zavarovanje fizične naprave napadalcem preprečilo naše podatke. Vprašanje pa je preprosto: Ali je naloga aplikacije šifriranje podatkov ali uporabnik?
Po Sotojevih besedah je Microsoft povedal Vključi varnost, da "uporabniki ne smejo domnevati, da so podatki privzeto šifrirani v kateri koli aplikaciji ali operacijskem sistemu, razen če ni bilo izrecno obljubljeno."
Soto je dejal, da mora biti obratno, saj uporabniki smiselno prevzamejo PIN, ki ga vnesejo, da odprejo aplikacijo, tudi varuje zaupnost svojih sporočil. "Vsaj prodajalci aplikacij lahko uporabnika opozorijo in predlagajo, naj šifrirajo datotečni sistem, saj aplikacija ne zagotavlja zaupnosti, " je dejal Soto.
"Stranke, ki želijo šifrirati svoj e-poštni naslov, lahko preidejo prek svojih nastavitev telefona in šifrirajo podatke SD kartice, " je za SecurityWatch povedal Microsoftov tiskovni predstavnik.
Žal se zdi, da je to "običajno vedenje, ki ga pogosto vidimo, " je dejal Kevin Watkins, glavni arhitekt in soustanovitelj Appthorityja. Kadar koli so zasebni podatki shranjeni lokalno v napravi, napadalec je na splošno dostopen. Težava je v tem, da četudi razvijalci aplikacij izvajajo zaščitne ukrepe, napadalec, ki je odločen ali dovolj naporen, še vedno lahko dešifrira podatke, je še poudaril Watkins.
Microsoft je za SecurityWatch povedal, da druge aplikacije v Android ne morejo nezakonito dostopati do podatkov iz ene aplikacije zaradi funkcije peskovnika. To velja, če aplikacija shranjuje priloge v podatkovnem imeniku aplikacije in ne na SD kartico. Kot je poudaril Hoog, lahko to zavzame preveč prostora, zato razvijalci namesto tega uporabljajo SD kartico.
Aplikacija lahko začasno prenese datoteke v imenik / tmp, kar bi pomenilo, da morajo uporabniki datoteko prenesti vsakič, je dejal Hoog. Toda ta odločitev ima svoje pasti.
Kdo je prizadet
Večina potrošnikov morda ni divja glede posledic za zasebnost, vendar je njihov vpliv "razmeroma majhen", je dejal Maxim Weinstein, varnostni svetovalec v Sophosu.
Največje posledice so za organizacije, ki uporabljajo Outlook.com in pošiljajo podatke visoke vrednosti po e-pošti. Vendar bi morali že uporabljati programsko opremo za upravljanje mobilnih naprav in druga orodja, da bi zagotovili pravilno zaščito podatkov, je dejal Weinstein.
Uporabniki bi morali vsaj šifrirati podatke SD kartice, tako da nekdo ne bi mogel samo ukrasti kartice in prebrati datotek.
Vključi varnost je imela druga priporočila: Izklopite razhroščevanje USB v napravi Android, tako da odprete možnosti Nastavitve-razvijalci. Spremenite privzeti imenik prenosov za priloge e-pošte na mesto, ki ni SD kartica (/ sdcard / external_sd). Tako so podatki, tudi če je naprava izgubljena ali ukradena, zaščiteni za PIN-om ali geslom naprave in niso izpostavljeni.
Uporablja se drugo vedenje varnosti mobilnih naprav, na primer izogibanje aplikacijam iz virov, ki niso zaupanja vredne prodajalne, namestitev programske opreme za mobilne naprave in zaščito naprave z geslom.
"Poskusi, da ne izgubiš telefona, " je rekel Watkins.
