У дома Securitywatch Приложението за Android на Outlook.com не криптира файлове. защо не си?

Приложението за Android на Outlook.com не криптира файлове. защо не си?

Видео: How To Sync Android With Microsoft Outlook (Ноември 2024)

Видео: How To Sync Android With Microsoft Outlook (Ноември 2024)
Anonim

Ако използвате приложението Android за четене и изпращане на имейл от Outlook.com, прикачените файлове не се запазват сигурно. Microsoft твърди, че криптирането не е отговорност на приложението на първо място.

Изследователите от „Включи сигурност“ проектираха Android клиента на Microsoft за Outlook.com и откриха, че прикачените имейли се съхраняват некриптирани на SD картата на устройството, пише изследователят Паоло Сото в блога на компанията миналата седмица. Тези файлове могат да бъдат прочетени от всяко приложение, което има достъп до SD картата. Всеки може да пусне SD картата в друго устройство и да прочете съдържанието.

Усещане за дежа ву, някой? По-рано този месец Apple беше критикувана, когато се оказа, че прикачените файлове не са последователно криптирани на iOS устройства. Фактът, че прикачените файлове не са кодирани в iOS, може да повдигне червени знамена за корпорации и правителства, които имат служители, които имат достъп до работни данни на мобилни устройства. Проблемът с iOS имаше ограничено въздействие, тъй като паролата на устройството работеше като възпиращо средство. В този случай обаче, ако приложението запазва файловете на SD картата, няма блокиране на пътя, което да държи нападателите далеч.

Струва си да се отбележи, че много други приложения съхраняват файлове на SD картата, без да ги криптират първо. "Въпреки че не е идеален, това със сигурност е норма за повечето приложения, които съхраняват данни на SD картата", казва Андрю Хуг, изпълнителен директор и съосновател на viaForensics. Компанията е алармирала разработчиците на приложения в миналото, каза той.

Включете потвърдената за сигурност други приложения за съобщения показват подобно поведение. „Искаме да повишим информираността на потребителите за по-големия брой криптиране на файловата система за мобилни телефони, което е необходимо за поверителност на данните“, казва Ерик Кабетас, управляващ партньор в „Включи сигурност“.

Това ли е работата на приложението?

В SecurityWatch често напомняме на читателите да разрешат парола или ПИН код, за да защитят съдържанието на техните данни, в случай че устройството им някога се загуби или открадне. Фактът, че крадец може просто да пусне SD картата в различно устройство и да види данните на пощата, анулира цялото очакване, че обезопасяването на физическото устройство ще предпази нападателите от нашите данни. Въпросът обаче е прост: Задачата на приложението ли е да криптира данните или потребителят?

Според Сото, Microsoft каза на Включи сигурност, че „потребителите не трябва да приемат, че данните са криптирани по подразбиране във всяко приложение или операционна система, освен ако не е направено изрично обещание за този ефект“.

Сото каза, че обратното трябва да е така, тъй като е разумно потребителите да приемат ПИН кода, който въвеждат, за да отворят приложението, също защитава поверителността на техните съобщения. „Най-малкото, продавачите на приложения могат да предупредят даден потребител и да им предложат, че те криптират файловата система, тъй като приложението не дава никаква гаранция за поверителност“, каза Сото.

„Клиентите, които желаят да шифроват имейла си, могат да преминат през настройките на телефона си и да шифроват данните на SD картата“, заяви говорител на Microsoft пред SecurityWatch.

За съжаление, това изглежда е "често срещано поведение, което виждаме често", казва Кевин Уоткинс, главен архитект и съосновател на Appthority. По всяко време личните данни се съхраняват локално на устройството, обикновено са достъпни от нападател. Проблемът е, че дори ако разработчиците на приложения прилагат защитни мерки, атакуващ, който е достатъчно решителен или упорит, все още може да дешифрира данните, отбеляза Уоткинс.

Microsoft каза на SecurityWatch, че данните от едно приложение не могат да бъдат достъпни незаконно от други приложения на Android поради функцията на пясъчника. Това е вярно, ако приложението съхранява прикачени файлове в директорията с данни на приложението, а не SD картата. Както Hoog отбеляза, това може да заема твърде много място, поради което разработчиците вместо това използват SD картата.

Приложението може временно да изтегля файлове в директорията / tmp, което би означавало, че потребителите трябва да изтеглят файла всеки път, каза Хуг. Но това решение има своите клопки.

Кой е засегнат

Повечето потребители може да не са развълнувани от последиците за неприкосновеността на личния живот, но въздействието върху тях е "сравнително малко", заяви Максим Вайнщайн, съветник по сигурността в Sophos.

Най-голямото значение има за организациите, които използват Outlook.com и изпращат данни с висока стойност по имейл. Въпреки това те вече трябва да използват софтуер за управление на мобилни устройства и други инструменти, за да гарантират, че данните са правилно защитени, каза Вайнщайн.

Най-малкото, потребителите вече трябва да криптират данните на SD картата, така че някой не може просто да открадне картата и да чете файловете.

Включване на сигурността имаше и други препоръки: Изключете отстраняването на грешки през USB на устройството с Android, като отидете на „Настройки за програмисти“. Променете директорията за изтегляне по подразбиране за прикачени файлове в имейл на място, различно от SD картата (/ sdcard / external_sd). По този начин, дори ако устройството е загубено или откраднато, данните са защитени зад ПИН кода или парола на устройството и не са изложени.

Прилага се друго поведение за мобилна сигурност, като например избягване на приложения от източници, различни от надеждни магазини за приложения, инсталиране на софтуер за мобилна защита и защита на паролата на устройството.

"Опитайте се да не загубите телефона си", каза Уоткинс.

Приложението за Android на Outlook.com не криптира файлове. защо не си?