Domov Securitywatch Aplikácia Android.com pre aplikáciu Outlook.com nešifruje súbory. prečo nie?

Aplikácia Android.com pre aplikáciu Outlook.com nešifruje súbory. prečo nie?

Video: How to Play .Cia Game | Citra Android (November 2024)

Video: How to Play .Cia Game | Citra Android (November 2024)
Anonim

Ak na čítanie a odosielanie e-mailov z aplikácie Outlook.com používate aplikáciu Android, e-mailové prílohy sa neuložia bezpečne. Microsoft tvrdí, že šifrovanie nie je v prvom rade zodpovednosťou aplikácie.

Výskumníci v spoločnosti Include Security prešli reverzným inžinierstvom pre klienta Android spoločnosti Microsoft pre program Outlook.com a zistili, že e-mailové prílohy sú nešifrované na SD karte zariadenia, napísal vedecký pracovník Paolo Soto minulý týždeň na blog spoločnosti. Tieto súbory si môže prečítať každá aplikácia, ktorá má prístup na kartu SD. Ktokoľvek môže vložiť kartu SD do iného zariadenia a prečítať si jej obsah.

Pocit déjà vu, niekto? Začiatkom tohto mesiaca bola spoločnosť Apple kritizovaná, keď sa ukázalo, že e-mailové prílohy neboli na zariadeniach iOS neustále šifrované. Skutočnosť, že prílohy nie sú šifrované v systéme iOS, môže zvýšiť korporácie a vlády, ktoré majú zamestnancov, ktorí majú prístup k pracovným údajom v mobilných zariadeniach. Problém systému iOS mal obmedzený vplyv, pretože prístupový kód zariadenia pracoval ako odstrašujúci prostriedok. V takom prípade, ak však aplikácia ukladá súbory na SD kartu, nie je možné blokovať útočníkov.

Je potrebné poznamenať, že mnoho ďalších aplikácií ukladá súbory na SD kartu bez toho, aby ich najskôr zašifrovali. „Aj keď to nie je ideálne, je to určite štandard pre väčšinu aplikácií, ktoré ukladajú údaje na SD kartu, “ povedal Andrew Hoog, generálny riaditeľ a spoluzakladateľ spoločnosti viaForensics. Spoločnosť upozornila vývojárov aplikácií v minulosti, uviedol.

Vrátane zabezpečenia potvrdilo, že ostatné aplikácie na odosielanie správ vykazujú podobné správanie. „Chceme zvýšiť informovanosť používateľov o väčšej otázke šifrovania súborového systému mobilných telefónov, ktorá je nevyhnutnosťou pre ochranu údajov, “ uviedol Erik Cabetas, generálny partner spoločnosti Include Security.

Je to práca aplikácie?

V SecurityWatch často čitateľom pripomenieme, aby povolili prístupový kód alebo PIN na ochranu obsahu svojich údajov v prípade, že sa ich zariadenie niekedy stratí alebo odcudzí. Skutočnosť, že zlodej môže len vložiť SD kartu do iného zariadenia a vidieť e-mailové údaje, ruší všetky očakávania, že zabezpečenie fyzického zariadenia zabráni útočníkom dostať sa z našich údajov. Otázka je však jednoduchá: Je úlohou aplikácie šifrovať údaje alebo používateľa?

Podľa spoločnosti Soto spoločnosť Microsoft spoločnosti Include Security uviedla, že „používatelia by nemali predpokladať, že údaje sú štandardne šifrované v akejkoľvek aplikácii alebo operačnom systéme, pokiaľ nebol v tomto zmysle výslovne sľúbený“.

Spoločnosť Soto uviedla, že by to malo byť naopak, pretože je rozumné, aby používatelia prevzali kód PIN, ktorý zadajú, aby otvorili aplikáciu, chráni aj dôvernosť ich správ. „Predajcovia aplikácií môžu používateľa varovať a navrhnúť, aby šifrovali systém súborov, pretože aplikácia neposkytuje žiadnu záruku dôvernosti, “ uviedol Soto.

„Zákazníci, ktorí chcú šifrovať svoje e-maily, môžu prejsť nastaveniami svojho telefónu a šifrovať údaje na karte SD, “ uviedol hovorca spoločnosti SecurityWatch.

Nanešťastie sa zdá, že ide o „bežné správanie, ktoré často vidíme, “ povedal Kevin Watkins, hlavný architekt a spoluzakladateľ Appthority. Kedykoľvek sú súkromné ​​údaje uložené lokálne v zariadení, spravidla sú prístupné útočníkovi. Problém je v tom, že aj keď vývojári aplikácií implementujú bezpečnostné opatrenia, útočník, ktorý je odhodlaný alebo dostatočne odolný, môže údaje dešifrovať, poznamenal Watkins.

Spoločnosť Microsoft spoločnosti SecurityWatch oznámila, že k údajom z jednej aplikácie nemôžu mať nelegálne prístup iné aplikácie v systéme Android z dôvodu funkcie karantény. To platí, ak aplikácia ukladá prílohy do dátového adresára aplikácie, a nie na kartu SD. Ako poznamenal Hoog, môže to zaberať príliš veľa miesta, a preto vývojári namiesto toho používajú kartu SD.

Aplikácia môže dočasne sťahovať súbory do adresára / tmp, čo znamená, že používatelia si musia súbor stiahnuť zakaždým, uviedol Hoog. Toto rozhodnutie má však svoje vlastné nástrahy.

Kto je postihnutý

Väčšina spotrebiteľov nemusí mať divoký vplyv na súkromie, ale dopad na nich je „relatívne malý“, povedal Maxim Weinstein, bezpečnostný poradca v spoločnosti Sophos.

Najväčšie dôsledky sú pre organizácie, ktoré používajú Outlook.com a posielajú prostredníctvom e-mailu údaje vysokej hodnoty. Mali by však už používať softvér na správu mobilných zariadení a ďalšie nástroje na zabezpečenie náležitej ochrany údajov, povedal Weinstein.

Používatelia by už mali prinajmenšom šifrovať údaje karty SD, aby niekto nemohol kartu iba ukradnúť a prečítať súbory.

Zahrnúť zabezpečenie malo ďalšie odporúčania: Vypnite ladenie USB na zariadení s Androidom tak, že prejdete do časti Nastavenia pre vývojárov. Zmeňte predvolený adresár pre sťahovanie e-mailových príloh na iné miesto ako na SD kartu (/ sdcard / external_sd). Týmto spôsobom sú údaje chránené aj za kódom PIN alebo prístupovým kódom zariadenia, a to aj v prípade, že dôjde k jeho strate alebo krádeži a nie sú odkryté.

Používajú sa aj iné spôsoby zabezpečenia mobilných sietí, ako je napríklad vyhýbanie sa aplikáciám z iných zdrojov, ako sú dôveryhodné obchody s aplikáciami, inštalácia mobilného bezpečnostného softvéru a zariadenie na ochranu heslom.

„Pokúste sa prísť o telefón, “ povedal Watkins.

Aplikácia Android.com pre aplikáciu Outlook.com nešifruje súbory. prečo nie?