Vídeo: Sync Outlook, Outlook.com, and Android (Setembre 2024)
Si utilitzeu l'aplicació Android per llegir i enviar correu electrònic des d'Outlook.com, no es desaran els fitxers adjunts de correu electrònic de manera segura. Microsoft argumenta que el xifratge no és responsabilitat de l'aplicació en primer lloc.
El client d'Android Microsoft va desenvolupar inversament el programa Android de Microsoft per a Outlook.com i va descobrir que els fitxers adjunts de correu electrònic es desencriptats a la targeta SD del dispositiu, va escriure el investigador Paolo Soto al bloc de la companyia la setmana passada. Aquests fitxers poden ser llegits per qualsevol aplicació que tingui accés a la targeta SD. Qualsevol usuari pot introduir la targeta SD en un altre dispositiu i llegir el contingut.
Un sentit de déjà vu, algú? A principis d’aquest mes, Apple va ser criticada quan va resultar que els fitxers adjunts de correu electrònic no s’estaven xifrant constantment en dispositius iOS. El fet que els fitxers adjunts no estiguin xifrats a iOS pot generar banderes vermelles per a les corporacions i governs que tinguin empleats que accedeixin a les dades de treball en dispositius mòbils. El problema d’iOS va tenir un impacte limitat perquè la contrasenya del dispositiu funcionava com a element dissuasiu. En aquest cas, però, si l’aplicació està desant els fitxers a la targeta SD, no hi ha cap bloqueig de ruta per allotjar els atacants.
Val la pena assenyalar que moltes altres aplicacions emmagatzemen fitxers a la targeta SD sense xifrar-los primer. "Tot i que no és ideal, aquesta és certament la norma per a la majoria d'aplicacions que emmagatzemen dades a la targeta SD", va dir Andrew Hoog, director general i cofundador de viaForensics. La companyia ha alertat als desenvolupadors d'aplicacions en el passat, va dir.
Incloure Security reconeix que altres aplicacions de missatgeria mostren un comportament similar. "Volem augmentar el coneixement dels usuaris sobre el problema més gran del xifrat del sistema de fitxers de telefonia mòbil que és una necessitat per a la privadesa de les dades", va dir Erik Cabetas, soci gestor d'Incloure seguretat.
És feina de l'aplicació?
A SecurityWatch, recordem freqüentment als lectors que activen una contrasenya o un PIN per protegir el contingut de les seves dades en cas que el dispositiu es perdi o es robi. El fet que un lladre només pugui fer aparèixer la targeta SD en un dispositiu diferent i veure les dades de correu electrònic anul·la tota l'expectativa que protegir el dispositiu físic evitarà als atacants fora de les nostres dades. La pregunta, però, és senzilla: és feina de l’aplicació xifrar les dades o la de l’usuari?
Segons Soto, Microsoft va dir a Include Security que "els usuaris no haurien d'assumir que les dades es xifren de manera predeterminada en qualsevol aplicació o sistema operatiu, tret que s'hagi fet una promesa explícita a aquest efecte."
Soto va dir que hauria de ser el cas invers, ja que és raonable que els usuaris assumeixin el PIN que introdueixen per obrir l’aplicació també protegeix la confidencialitat dels seus missatges. "Com a mínim, els venedors d'aplicacions poden avisar a un usuari i suggerir que xifren el sistema d'arxius ja que l'aplicació no garanteix la confidencialitat", va dir Soto.
"Els clients que desitgin xifrar el seu correu electrònic poden passar per la configuració del telèfon i xifrar les dades de la targeta SD", va dir un portaveu de Microsoft a SecurityWatch.
Malauradament, sembla que és "un comportament comú que veiem sovint", va dir Kevin Watkins, arquitecte en cap i cofundador d'Appthority. Cada vegada que les dades privades s’emmagatzemen localment al dispositiu, generalment són accessibles per un atacant. El problema és que, fins i tot si els desenvolupadors d'aplicacions implementen salvaguardes, un atacant que està prou decidit o prou tenac encara pot desxifrar les dades, va assenyalar Watkins.
Microsoft va dir a SecurityWatch que altres aplicacions de Android no poden accedir de manera il·legal a causa de la funció sandbox. Això és cert si l’aplicació emmagatzema fitxers adjunts al directori de dades de l’aplicació i no a la targeta SD. Com Hoog va assenyalar, això pot ocupar massa espai, és per això que els desenvolupadors utilitzen la seva targeta SD.
L'aplicació pot descarregar temporalment fitxers al directori / tmp, cosa que suposaria que els usuaris hagin de descarregar el fitxer cada vegada, va dir Hoog. Però aquesta decisió té entrebancs propis.
Qui està afectat
És possible que la majoria de consumidors no tinguin una incapacitat en relació amb les implicacions de privadesa, però l'impacte sobre ells és "relativament menor", va dir Maxim Weinstein, assessor de seguretat de Sophos.
Les majors implicacions són per a organitzacions que utilitzen Outlook.com i envien dades d’alt valor per correu electrònic. Tanmateix, ja haurien d’utilitzar programari de gestió de dispositius mòbils i altres eines per garantir que les dades estiguin protegides correctament, va dir Weinstein.
Com a mínim, els usuaris ja haurien d’encriptar les dades de la targeta SD perquè algú no només pugui robar la targeta i llegir els fitxers.
Inclusió de la seguretat tenia altres recomanacions: desactiveu la depuració USB al dispositiu Android si aneu a Configuració de desenvolupador. Canvieu el directori de baixada predeterminat dels fitxers adjunts per correu electrònic a una ubicació que no sigui la targeta SD (/ sdcard / external_sd). D’aquesta manera, fins i tot si el dispositiu es perd o es roba, les dades es protegeixen al darrere del PIN o codi de pas del dispositiu i no s’exposen.
S’apliquen altres comportaments de seguretat per a mòbils, com evitar aplicacions de fonts diferents de botigues d’aplicacions de confiança, instal·lar programari de seguretat mòbil i protegir amb contrasenya el dispositiu.
"Intenta no perdre el telèfon", va dir Watkins.
