Видео: Outlook (Октября 2024)
Если вы используете приложение Android для чтения и отправки электронной почты с Outlook.com, вложения электронной почты не сохраняются надежно. Microsoft утверждает, что шифрование не является обязанностью приложения в первую очередь.
Исследователи из «Включить безопасность» реверс-разработали Android-клиент Microsoft для Outlook.com и обнаружили, что вложения электронной почты хранятся в незашифрованном виде на SD-карте устройства, пишет исследователь Паоло Сото в своем блоге на прошлой неделе. Эти файлы могут быть прочитаны любым приложением, имеющим доступ к SD-карте. Любой может вставить SD-карту в другое устройство и прочитать ее содержимое.
Чувство дежавю, кто-нибудь? Ранее в этом месяце Apple подверглась критике, когда выяснилось, что почтовые вложения не всегда последовательно шифруются на устройствах iOS. Тот факт, что в iOS не зашифрованы вложения, может поднять красные флаги для корпораций и правительств, у которых есть сотрудники, имеющие доступ к рабочим данным на мобильных устройствах. Проблема с iOS имела ограниченное влияние, потому что пароль устройства работал как сдерживающий фактор. В этом случае, однако, если приложение сохраняет файлы на SD-карте, нет препятствий для защиты от атак.
Стоит отметить, что многие другие приложения хранят файлы на SD-карте без предварительного их шифрования. «Хотя это и не идеально, это, безусловно, норма для большинства приложений, которые хранят данные на SD-карте», - сказал Эндрю Хуг, генеральный директор и соучредитель viaForensics. По его словам, в прошлом компания предупреждала разработчиков приложений.
Включите подтверждение безопасности, другие приложения обмена сообщениями демонстрируют аналогичное поведение. «Мы хотим повысить осведомленность пользователей о более широкой проблеме шифрования файловой системы мобильных телефонов, которая необходима для обеспечения конфиденциальности данных», - сказал Эрик Кабетас, управляющий партнер Include Security.
Это работа приложения?
В SecurityWatch мы часто напоминаем читателям включить пароль или ПИН-код для защиты содержимого своих данных на случай, если их устройство когда-либо будет потеряно или украдено. Тот факт, что вор может просто вставить SD-карту в другое устройство и посмотреть почтовые данные, сводит на нет все ожидания, что защита физического устройства защитит злоумышленников от наших данных. Вопрос, однако, прост: является ли приложение приложением для шифрования данных или пользователем?
Согласно Сото, Microsoft заявила в «Включить безопасность», что «пользователи не должны предполагать, что данные по умолчанию зашифрованы в любом приложении или операционной системе, если не было дано явного обещания на этот счет».
Сото сказал, что должно быть обратное, поскольку для пользователей разумно предположить, что введенный ими ПИН-код для открытия приложения также защищает конфиденциальность их сообщений. «По крайней мере, поставщики приложений могут предупредить пользователя и предложить зашифровать файловую систему, поскольку приложение не гарантирует конфиденциальности», - сказал Сото.
«Клиенты, которые хотят зашифровать свою электронную почту, могут пройти через настройки своего телефона и зашифровать данные SD-карты», - сказал представитель Microsoft в интервью SecurityWatch.
К сожалению, это, кажется, "обычное поведение, которое мы часто видим", сказал Кевин Уоткинс, главный архитектор и соучредитель Appthority. Каждый раз, когда личные данные хранятся локально на устройстве, они обычно доступны злоумышленнику. Проблема в том, что даже если разработчики приложений реализуют защитные меры, злоумышленник, который решителен или достаточно настойчив, может все же расшифровать данные, отметил Уоткинс.
Microsoft заявила SecurityWatch, что данные из одного приложения не могут быть незаконно доступны другим приложениям на Android из-за функции песочницы. Это верно, если приложение хранит вложения в каталоге данных приложения, а не на SD-карте. Как отметил Хуг, это может занимать слишком много места, поэтому разработчики вместо этого используют SD-карту.
Приложение может временно загружать файлы в каталог / tmp, что означает, что пользователи должны загружать файл каждый раз, сказал Хуг. Но это решение имеет свои подводные камни.
Кто затронут
Большинство потребителей, возможно, не в восторге от последствий для конфиденциальности, но влияние на них «относительно незначительно», сказал Максим Вайнштейн, советник по безопасности в Sophos.
Самые большие последствия для организаций, которые используют Outlook.com и отправляют ценные данные по электронной почте. Тем не менее, они уже должны использовать программное обеспечение для управления мобильными устройствами и другие инструменты для обеспечения надлежащей защиты данных, сказал Вайнштейн.
По крайней мере, пользователи уже должны шифровать данные SD-карты, чтобы кто-то не мог просто украсть карту и прочитать файлы.
У «Включить безопасность» были и другие рекомендации: отключите отладку по USB на устройстве Android, выбрав «Настройки» - «Параметры разработчика». Измените каталог загрузки по умолчанию для вложений электронной почты на местоположение, отличное от SD-карты (/ sdcard / external_sd). Таким образом, даже если устройство потеряно или украдено, данные защищены за PIN-кодом устройства или паролем и не раскрываются.
Применяются и другие способы обеспечения безопасности мобильных устройств, такие как отказ от приложений из источников, отличных от надежных магазинов приложений, установка программного обеспечения для обеспечения безопасности мобильных устройств и защита устройства паролем.
«Постарайся не потерять свой телефон», - сказал Уоткинс.
