Video: How to install Outlook and Office apps on Android devices (Marraskuu 2024)
Jos käytät Android-sovellusta sähköpostien lukemiseen ja lähettämiseen Outlook.comista, sähköpostien liitteitä ei tallenneta turvallisesti. Microsoft väittää, että salaus ei ole ensisijaisesti sovelluksen vastuulla.
Include Security -yrityksen tutkijat suunnittelivat Microsoftin Android.com-asiakasohjelman Outlook.com: lle ja havaitsivat, että sähköpostin liitteet tallennetaan salaamattomasti laitteen SD-kortille, tutkija Paolo Soto kirjoitti yrityksen blogissa viime viikolla. Nämä tiedostot voi lukea kuka tahansa sovellus, jolla on pääsy SD-kortille. Kuka tahansa voi avata SD-kortin toiseen laitteeseen ja lukea sen sisältöä.
Tunne déjà vu, kukaan? Aiemmin tässä kuussa Applea kritisoitiin, kun kävi ilmi, että sähköpostin liitteitä ei salattu jatkuvasti iOS-laitteissa. Se, että liitetiedostoja ei ole salattu iOS: ssä, saattaa nostaa punaisia lippuja yrityksille ja hallituksille, joiden työntekijät käyttävät työtietoja mobiililaitteilla. IOS-ongelmalla oli rajoitettu vaikutus, koska laitteen salasana toimi pelotteena. Jos sovellus kuitenkin tallentaa tiedostoja SD-kortille, tässä tapauksessa ei ole esteitä, jotka pitäisivät hyökkääjät poissa.
On syytä huomata, että monet muut sovellukset tallentavat tiedostoja SD-kortille salaamatta niitä ensin. "Vaikka tämä ei olekaan ihanteellinen, se on varmasti normi useimmille sovelluksille, jotka tallentavat tietoja SD-kortille", sanoi viaForensicsin toimitusjohtaja ja perustaja Andrew Hoog. Yhtiö on aiemmin ilmoittanut sovelluskehittäjille, hän sanoi.
Sisällytä Turvallisuus-tunnustetut muut viestisovellukset käyttäytyvät samalla tavalla. "Haluamme lisätä käyttäjien tietoisuutta matkapuhelinten tiedostojärjestelmien salauksen laajemmasta kysymyksestä, joka on välttämätöntä tietosuojalle", sanoi Include Securityn toimitusjohtaja Erik Cabetas.
Onko se sovelluksen työ?
SecurityWatchissa muistutamme lukijoita usein salasanan tai PIN-koodin sallimisesta tietojen sisällön suojaamiseksi, jos heidän laite katoaa tai varastetaan. Se, että varas voi vain poputtaa SD-kortin toiseen laitteeseen ja nähdä postitiedot, mitätöi koko odotuksen, että fyysisen laitteen suojaaminen estäisi hyökkääjät tietojemme ulkopuolella. Kysymys on kuitenkin yksinkertainen: Onko sovelluksen tehtävä salata tiedot vai käyttäjän?
Soton mukaan Microsoft kertoi Include Securitylle, että "käyttäjien ei pitäisi olettaa, että tiedot on salattu oletuksena missään sovelluksessa tai käyttöjärjestelmässä, ellei tätä ole nimenomaisesti luvattu."
Soto sanoi, että päinvastoin pitäisi olla tilanne, koska käyttäjien on kohtuullista olettaa käyttävänsä PIN-koodia sovelluksen avaamiseksi suojaamaan myös viestiensä luottamuksellisuutta. "Ainakin sovellusmyyjät voivat varoittaa käyttäjää ja ehdottaa salaamaan tiedostojärjestelmän, koska sovellus ei takaa luottamuksellisuutta", Soto sanoi.
"Asiakkaat, jotka haluavat salata sähköpostinsa, voivat käydä läpi puhelinasetuksensa ja salata SD-korttitiedot", Microsoftin tiedottaja kertoi SecurityWatchille.
Valitettavasti tämä näyttää olevan "yleinen käyttäytyminen, jota näemme usein", sanoi Kevin Watkins, Appthorityn pääarkkitehti ja perustaja. Aina yksityisiä tietoja tallennetaan laitteelle paikallisesti, hyökkääjä voi yleensä käyttää niitä. Ongelmana on, että vaikka sovelluskehittäjät toteuttavat suojaustoimenpiteitä, riittävän määrätietoinen tai sitkeä hyökkääjä voi silti purkaa tiedot, Watkins huomautti.
Microsoft kertoi SecurityWatchille, että muut Android-sovellukset eivät pääse laittomasti käyttämään yhden sovelluksen tietoja hiekkalaatikkoominaisuuden takia. Se on totta, jos sovellus tallentaa liitteet sovelluksen tietohakemistoon eikä SD-kortille. Kuten Hoog huomautti, se voi viedä liian paljon tilaa, minkä vuoksi kehittäjät käyttävät sen sijaan SD-korttia.
Sovellus voi ladata tiedostot väliaikaisesti / tmp-hakemistoon, mikä tarkoittaa, että käyttäjien on ladattava tiedosto joka kerta, Hoog sanoi. Mutta päätöksellä on omat sudenkuopat.
Kuka vaikuttaa
Useimmat kuluttajat eivät välttämättä ole villejä yksityisyyden suojaan liittyvistä vaikutuksista, mutta vaikutus heihin on "suhteellisen vähäinen", sanoi Sophosin turvallisuusneuvoja Maxim Weinstein.
Suurimmat vaikutukset kohdistuvat organisaatioihin, jotka käyttävät Outlook.comia ja lähettävät arvokasta tietoa sähköpostitse. Heidän pitäisi kuitenkin jo käyttää mobiililaitteiden hallintaohjelmistoja ja muita työkaluja tietojen suojaamiseksi asianmukaisesti, Weinstein sanoi.
Ainakin käyttäjien tulisi jo salata SD-korttitiedot, jotta joku ei vain varasta korttia ja lukea tiedostoja.
Sisällytä tietoturvaan oli muita suosituksia: Sammuta USB-virheenkorjaus Android-laitteella siirtymällä kohtaan Asetukset-Kehittäjäasetukset. Vaihda sähköpostiliitteiden oletuslataushakemisto muuhun kuin SD-korttiin (/ sdcard / external_sd). Tällä tavoin, vaikka laite katoaa tai varastetaan, tiedot suojataan laitteen PIN- tai pääsykoodin takana, eikä niitä paljasteta.
Muita mobiililaitteiden tietoturvakäyttäytymisiä, kuten muiden kuin luotettavien sovelluskauppojen sovellusten välttäminen, mobiiliturvaohjelmistojen asentaminen ja laitteen salasanasuojaus.
"Yritä olla menettämättä puhelintasi", Watkins sanoi.