Video: Outlook. Мобильное приложение и веб-версия [0+] Обучение для пользователей Office 365 (September 2024)
Om du använder Android-appen för att läsa och skicka e-post från Outlook.com sparas inte e-postbilagor säkert. Microsoft hävdar att kryptering inte är appens ansvar i första hand.
Forskare på Include Security omvänd konstruerade Microsofts Android-klient för Outlook.com och fann att bilagor till e-post lagras okrypterade på enhetens SD-kort, skrev forskaren Paolo Soto på företagets blogg förra veckan. Dessa filer kan läsas av alla appar som har tillgång till SD-kortet. Vem som helst kan skicka SD-kortet till en annan enhet och läsa innehållet.
En känsla av déjà vu, någon? Tidigare denna månad kritiserades Apple när det visade sig att e-postbilagor inte konsekvent krypterades på iOS-enheter. Det faktum att bilagor inte är krypterade på iOS kan lyfta röda flaggor för företag och regeringar som har anställda som har åtkomst till arbetsdata på mobila enheter. IOS-problemet hade begränsad inverkan eftersom enhetens lösenord fungerade som ett avskräckande medel. I det här fallet, men om appen sparar filerna på SD-kortet, finns det ingen vägspärr för att hålla angriparna borta.
Det är värt att notera att många andra appar lagrar filer på SD-kortet utan att kryptera dem först. "Även om det inte är idealiskt, är detta verkligen normen för de flesta appar som lagrar data på SD-kortet, " säger Andrew Hoog, VD och medgrundare av viaForensics. Företaget har varnat apputvecklare tidigare, sade han.
Inkludera säkerhet erkända andra meddelandeappar uppvisar liknande beteende. "Vi vill öka användarnas medvetenhet om den större frågan om kryptering av mobiltelefons filsystem som är en nödvändighet för datasekretess, " säger Erik Cabetas, chef för Include Security.
Är det appens jobb?
På SecurityWatch påminner vi läsarna ofta om att aktivera ett lösenord eller en PIN-kod för att skydda innehållet i deras data om deras enhet någonsin går vilse eller stulna. Det faktum att en tjuv bara kan skicka SD-kortet i en annan enhet och se e-postdata, upphäver hela förväntningen att att säkerställa den fysiska enheten skulle hålla angriparna borta från våra data. Frågan är dock enkel: Är det appens jobb att kryptera data, eller användarens?
Enligt Soto berättade Microsoft för Include Security att "användare inte bör anta att data krypteras som standard i något program eller operativsystem såvida inte ett uttryckligt löfte om detta har gjorts."
Soto sade att det omvända borde vara fallet, eftersom det är rimligt att användare antar att PIN-koden de anger för att öppna appen skyddar också konfidentialiteten i sina meddelanden. "Åtminstone kan appleverantörer varna en användare och föreslå att de krypterar filsystemet eftersom applikationen inte ger någon garanti för konfidentialitet, " sade Soto.
"Kunder som vill kryptera sin e-post kan gå igenom sina telefoninställningar och kryptera SD-kortdata", berättade en talesman från Microsoft till SecurityWatch.
Tyvärr verkar detta vara "ett vanligt beteende som vi ofta ser", sa Kevin Watkins, chefarkitekt och medgrundare av Appthority. När som helst privata data lagras lokalt på enheten, är de vanligtvis tillgängliga av en angripare. Problemet är att även om apputvecklare implementerar skyddsåtgärder kan en angripare som är beslutsam eller tillräckligt nog fortfarande dekryptera data, konstaterade Watkins.
Microsoft berättade för SecurityWatch att data från en app inte kan komma åt olagligt av andra appar på Android på grund av sandlådefunktionen. Det är sant om appen lagrar bilagor i appens datakatalog och inte SD-kortet. Som Hoog noterade kan det ta för mycket utrymme, varför utvecklarna istället använder SD-kortet.
Appen kan tillfälligt ladda ner filer till / tmp-katalogen, vilket skulle innebära att användare måste ladda ner filen varje gång, sade Hoog. Men det beslutet har sina egna fallgropar.
Vem påverkas
De flesta konsumenter kanske inte är villiga om integritetsimplikationerna, men påverkan på dem är "relativt liten", säger Maxim Weinstein, en säkerhetsrådgivare på Sophos.
De största konsekvenserna är för organisationer som använder Outlook.com och skickar data med högt värde via e-post. De borde dock redan använda programvara för hantering av mobila enheter och andra verktyg för att säkerställa att data skyddas korrekt, sade Weinstein.
Åtminstone bör användare redan kryptera SD-kortdata så att någon inte bara kan stjäla kortet och läsa filerna.
Inkludera säkerhet hade andra rekommendationer: Stäng av USB-felsökning på Android-enheten genom att gå till Inställningar-utvecklaralternativ. Ändra standardhämtningskatalogen för e-postbilagor till en annan plats än SD-kortet (/ sdcard / extern_sd). På det sättet, även om enheten går förlorad eller stulen, skyddas data bakom enhetens PIN-kod eller lösenord och inte exponeras.
Andra mobilsäkerhetsbeteenden gäller, som att undvika appar från andra källor än pålitliga appbutiker, installera mobil säkerhetsprogramvara och lösenordsskydda enheten.
"Försök att inte tappa telefonen, " sade Watkins.
