Trang Chủ Đồng hồ an ninh Ứng dụng Android của Outlook.com không mã hóa tệp. tại sao không phải là bạn

Ứng dụng Android của Outlook.com không mã hóa tệp. tại sao không phải là bạn

Video: How to Synchronize Google Calendar with Outlook 365 2016, 2013, 2010 and 2007 (Tháng mười một 2024)

Video: How to Synchronize Google Calendar with Outlook 365 2016, 2013, 2010 and 2007 (Tháng mười một 2024)
Anonim

Nếu bạn sử dụng ứng dụng Android để đọc và gửi email từ Outlook.com, các tệp đính kèm email sẽ không được lưu an toàn. Microsoft cho rằng mã hóa không phải là trách nhiệm của ứng dụng ngay từ đầu.

Các nhà nghiên cứu tại Bao gồm bảo mật đảo ngược ứng dụng khách Android của Microsoft cho Outlook.com và thấy rằng các tệp đính kèm email được lưu trữ không được mã hóa trên thẻ SD của thiết bị, nhà nghiên cứu Paolo Soto đã viết trên blog của công ty vào tuần trước. Những tập tin này có thể được đọc bởi bất kỳ ứng dụng nào có quyền truy cập vào thẻ SD. Bất cứ ai cũng có thể đưa thẻ SD vào một thiết bị khác và đọc nội dung.

Một cảm giác của déjà vu, bất cứ ai? Đầu tháng này, Apple đã bị chỉ trích khi hóa ra các tệp đính kèm thư không được mã hóa liên tục trên các thiết bị iOS. Việc các tệp đính kèm không được mã hóa trên iOS có thể giương cờ đỏ cho các tập đoàn và chính phủ có nhân viên truy cập dữ liệu công việc trên thiết bị di động. Sự cố iOS có tác động hạn chế do mật mã thiết bị hoạt động như một công cụ ngăn chặn. Tuy nhiên, trong trường hợp này, nếu ứng dụng đang lưu các tệp trên thẻ SD, sẽ không có rào cản để tránh kẻ tấn công.

Điều đáng chú ý là nhiều ứng dụng khác lưu trữ tệp trên thẻ SD mà không mã hóa chúng trước. "Mặc dù không lý tưởng, nhưng đây chắc chắn là tiêu chuẩn cho hầu hết các ứng dụng lưu trữ dữ liệu trên Thẻ SD", Andrew Hoog, CEO và đồng sáng lập của viaForensics cho biết. Công ty đã cảnh báo các nhà phát triển ứng dụng trong quá khứ, ông nói.

Bao gồm Bảo mật thừa nhận các ứng dụng nhắn tin khác thể hiện hành vi tương tự. "Chúng tôi muốn tăng cường nhận thức của người dùng về vấn đề lớn hơn về mã hóa hệ thống tập tin điện thoại di động là cần thiết cho quyền riêng tư dữ liệu", Erik Cabetas, đối tác quản lý tại Bao gồm bảo mật cho biết.

Đây có phải là công việc của ứng dụng không?

Tại SecurityWatch, chúng tôi thường xuyên nhắc nhở độc giả kích hoạt mật mã hoặc mã PIN để bảo vệ nội dung dữ liệu của họ trong trường hợp thiết bị của họ bị mất hoặc bị đánh cắp. Việc một tên trộm chỉ có thể đưa thẻ SD vào một thiết bị khác và xem dữ liệu thư sẽ vô hiệu hóa toàn bộ kỳ vọng rằng việc bảo vệ thiết bị vật lý sẽ ngăn chặn kẻ tấn công khỏi dữ liệu của chúng tôi. Tuy nhiên, câu hỏi rất đơn giản: Đây có phải là công việc của ứng dụng để mã hóa dữ liệu hay của người dùng không?

Theo Soto, Microsoft nói với Bao gồm bảo mật rằng "người dùng không nên cho rằng dữ liệu được mã hóa theo mặc định trong bất kỳ ứng dụng hoặc hệ điều hành nào trừ khi có một lời hứa rõ ràng về hiệu ứng đó đã được thực hiện".

Soto nói điều ngược lại là trường hợp, vì người dùng cho rằng mã PIN họ nhập để mở ứng dụng cũng bảo vệ tính bảo mật của tin nhắn của họ. "Ít nhất, các nhà cung cấp ứng dụng có thể cảnh báo người dùng và đề nghị họ mã hóa hệ thống tệp vì ứng dụng không đảm bảo tính bảo mật", Soto nói.

"Khách hàng muốn mã hóa email của họ có thể thông qua cài đặt điện thoại và mã hóa dữ liệu thẻ SD", người phát ngôn của Microsoft nói với SecurityWatch.

Thật không may, điều này dường như là "một hành vi phổ biến mà chúng ta thường thấy", Kevin Watkins, kiến ​​trúc sư trưởng và đồng sáng lập của Appthority nói. Bất cứ lúc nào dữ liệu riêng tư được lưu trữ cục bộ trên thiết bị, kẻ tấn công thường có thể truy cập được. Vấn đề là ngay cả khi các nhà phát triển ứng dụng thực hiện các biện pháp bảo vệ, một kẻ tấn công đủ quyết tâm hoặc kiên cường vẫn có thể giải mã dữ liệu, Watkins lưu ý.

Microsoft nói với SecurityWatch rằng dữ liệu từ một ứng dụng không thể bị truy cập trái phép bởi các ứng dụng khác trên Android vì tính năng hộp cát. Điều đó đúng nếu ứng dụng lưu trữ tệp đính kèm trong thư mục dữ liệu của ứng dụng chứ không phải thẻ SD. Như Hoog lưu ý, điều đó có thể chiếm quá nhiều không gian, đó là lý do tại sao các nhà phát triển sử dụng thẻ SD, thay vào đó.

Ứng dụng có thể tạm thời tải tệp xuống thư mục / tmp, điều đó có nghĩa là người dùng phải tải xuống tệp mỗi lần, Hoog nói. Nhưng quyết định đó có những cạm bẫy riêng của nó.

Ai bị ảnh hưởng

Hầu hết người tiêu dùng có thể không tự hào về các tác động của quyền riêng tư, nhưng tác động đối với họ là "tương đối nhỏ", Maxim Weinstein, một cố vấn an ninh tại Sophos nói.

Ý nghĩa lớn nhất là dành cho các tổ chức sử dụng Outlook.com và gửi dữ liệu giá trị cao qua email. Tuy nhiên, họ nên sử dụng phần mềm quản lý thiết bị di động và các công cụ khác để đảm bảo dữ liệu được bảo vệ đúng cách, Weinstein nói.

Ít nhất, người dùng nên mã hóa dữ liệu thẻ SD để ai đó không thể đánh cắp thẻ và đọc các tệp.

Bao gồm Bảo mật có các đề xuất khác: Tắt gỡ lỗi USB trên thiết bị Android bằng cách đi tới Cài đặt - Tùy chọn nhà phát triển. Thay đổi thư mục tải xuống mặc định cho các tệp đính kèm email đến một vị trí khác ngoài thẻ SD (/ sdcard / bên ngoài_sd). Bằng cách đó, ngay cả khi thiết bị bị mất hoặc bị đánh cắp, dữ liệu được bảo vệ đằng sau mã PIN hoặc mật mã của thiết bị và không bị lộ.

Các hành vi bảo mật di động khác được áp dụng, như tránh các ứng dụng từ các nguồn khác ngoài cửa hàng ứng dụng đáng tin cậy, cài đặt phần mềm bảo mật di động và bảo vệ mật khẩu cho thiết bị.

"Cố gắng đừng để mất điện thoại của bạn, " Watkins nói.

Ứng dụng Android của Outlook.com không mã hóa tệp. tại sao không phải là bạn