Будинки Securitywatch Додаток Android для Outlook.com не шифрує файли. чому ти не?

Додаток Android для Outlook.com не шифрує файли. чому ти не?

Відео: Find important email attachments quickly - Outlook mobile (Листопад 2024)

Відео: Find important email attachments quickly - Outlook mobile (Листопад 2024)
Anonim

Якщо ви використовуєте додаток Android для читання та надсилання електронної пошти з Outlook.com, вкладення електронної пошти не зберігаються надійно. Microsoft стверджує, що шифрування в першу чергу не є відповідальністю програми.

Дослідники компанії "Включити безпеку" розробили клієнт Android для клієнта Microsoft для Outlook.com і виявили, що вкладення електронної пошти зберігаються незашифрованими на SD-картці пристрою, написав дослідник Паоло Сото у своєму блозі компанії минулого тижня. Ці файли може читати будь-яка програма, яка має доступ до SD-карти. Будь-хто може перенести SD-карту на інший пристрій і прочитати вміст.

Почуття дежау, хтось? На початку цього місяця Apple піддавалася критиці, коли виявилося, що вкладення пошти не постійно шифруються на пристроях iOS. Той факт, що вкладення не шифруються на iOS, може підняти червоні прапори для корпорацій та урядів, у яких працівники мають доступ до робочих даних на мобільних пристроях. Проблема iOS мала обмежений вплив, оскільки код доступу пристрою працював як стримуючий засіб. Однак у цьому випадку, якщо додаток зберігає файли на SD-карті, немає блокування дорожнього руху, щоб уникнути зловмисників.

Варто зазначити, що багато інших додатків зберігають файли на SD-картці, не шифруючи їх спочатку. "Хоча це не ідеально, це, звичайно, норма для більшості додатків, які зберігають дані на SD-картці", - сказав Ендрю Хуг, генеральний директор і співзасновник viaForensics. Компанія попереджала розробників додатків попередньо, сказав він.

Включити підтверджені безпекою інші програми обміну повідомленнями мають подібну поведінку. "Ми хочемо підвищити поінформованість користувачів про те, що більш широке питання шифрування файлових систем мобільного телефону є необхідністю для конфіденційності даних", - сказав Ерік Кабетас, керуючий партнер компанії "Включити безпеку".

Це робота програми?

У SecurityWatch ми часто нагадуємо читачам включити пароль або PIN-код для захисту вмісту своїх даних у випадку, якщо їх пристрій коли-небудь загубиться або вкрадеться. Те, що злодій може просто перенести SD-карту на інший пристрій і побачити поштові дані, зводить нанівець усі сподівання на те, що захист фізичного пристрою не дозволить зловмисникам потрапити до наших даних. Питання, однак, просте: чи завдання програми шифрувати дані, чи користувач?

За словами Сото, Microsoft сказала "Включити безпеку", що "користувачі не повинні вважати, що дані зашифровані за замовчуванням у будь-якому додатку чи операційній системі, якщо не було зроблено явної обіцянки щодо цього".

Сото заявив, що саме так має бути зворотним, оскільки користувачі доцільно вважати PIN-код, який вони вводять, щоб відкрити додаток, також захищає конфіденційність своїх повідомлень. "Принаймні, постачальники програм можуть попередити користувача та запропонувати їм зашифрувати файлову систему, оскільки додаток не гарантує конфіденційність", - сказав Сото.

"Клієнти, які бажають зашифрувати свою електронну пошту, можуть переглядати налаштування телефону та шифрувати дані SD-картки", - заявив прес-секретар Microsoft для SecurityWatch.

На жаль, це, мабуть, є "звичайною поведінкою, яку ми часто бачимо", - сказав Кевін Уоткінс, головний архітектор і співзасновник Appthority. У будь-який час приватні дані зберігаються локально на пристрої, вони, як правило, доступні зловмисникам. Проблема полягає в тому, що навіть якщо розробники додатків впроваджують гарантії, зловмисник, який визначений або досить наполегливий, все ще може розшифрувати дані, зазначив Уоткінс.

Microsoft сказала SecurityWatch, що інші програми на Android не можуть незаконно отримати доступ до даних однієї програми через функцію «пісочниці». Це вірно, якщо додаток зберігає вкладення в каталозі даних програми, а не SD-карту. Як зазначив Хуг, це може займати занадто багато місця, саме тому розробники використовують замість нього SD-карту.

Програма може тимчасово завантажувати файли в каталог / tmp, що означатиме, що користувачі повинні завантажувати файл кожен раз, сказав Хуг. Але це рішення має свої підводні камені.

Хто страждає

Більшість споживачів можуть не дивитись на наслідки для конфіденційності, але вплив на них є "відносно незначним", - сказав Максим Вайнштейн, радник з безпеки компанії "Софос".

Найбільші наслідки стосуються організацій, які використовують Outlook.com та надсилають високоцінні дані електронною поштою. Однак, вони вже повинні використовувати програмне забезпечення для управління мобільними пристроями та інші інструменти для забезпечення належного захисту даних, сказав Вайнштейн.

Принаймні, користувачі повинні вже шифрувати дані SD-картки, щоб хтось не міг просто вкрасти карту та читати файли.

Включити безпеку були й інші рекомендації: вимкніть налагодження USB на пристрої Android, перейшовши в Налаштування-розробник. Змініть каталог завантажень за замовчуванням для вкладень електронної пошти на місце, відмінне від SD-карти (/ sdcard / external_sd). Таким чином, навіть якщо пристрій загублено або вкрадено, дані захищаються за PIN-кодом або паролем пристрою та не піддаються впливу.

Застосовуються інші способи безпеки мобільних пристроїв, як-от уникнення програм із інших джерел, ніж надійні магазини додатків, встановлення програмного забезпечення для мобільних пристроїв та захист паролем пристрою.

"Намагайся не втрачати телефон", - сказав Уоткінс.

Додаток Android для Outlook.com не шифрує файли. чому ти не?