Casa Securitywatch L'app Android di Outlook.com non crittografa i file. perchè non lo sei?

L'app Android di Outlook.com non crittografa i file. perchè non lo sei?

Video: Satisfying Video l Kinetic Sand Nail Polish Foot Cutting ASMR #7 Rainbow ToyTocToc (Novembre 2024)

Video: Satisfying Video l Kinetic Sand Nail Polish Foot Cutting ASMR #7 Rainbow ToyTocToc (Novembre 2024)
Anonim

Se si utilizza l'app Android per leggere e inviare e-mail da Outlook.com, gli allegati e-mail non vengono salvati in modo sicuro. Microsoft sostiene che la crittografia non è in primo luogo la responsabilità dell'app.

I ricercatori di Include Security hanno ingegnerizzato il client Android di Microsoft per Outlook.com e hanno scoperto che gli allegati di posta elettronica sono archiviati non crittografati sulla scheda SD del dispositivo, il ricercatore Paolo Soto ha scritto sul blog dell'azienda la scorsa settimana. Questi file possono essere letti da qualsiasi app che abbia accesso alla scheda SD. Chiunque può inserire la scheda SD in un altro dispositivo e leggere il contenuto.

Un senso di déjà vu, chiunque? All'inizio di questo mese, Apple è stata criticata quando si è scoperto che gli allegati di posta non venivano costantemente crittografati su dispositivi iOS. Il fatto che gli allegati non siano crittografati su iOS può sollevare bandiere rosse per aziende e governi che hanno dipendenti che accedono ai dati di lavoro sui dispositivi mobili. Il problema con iOS ha avuto un impatto limitato perché il passcode del dispositivo funzionava come deterrente. In questo caso, tuttavia, se l'app sta salvando i file sulla scheda SD, non esiste un blocco stradale per tenere lontani gli aggressori.

Vale la pena notare che molte altre app memorizzano i file sulla scheda SD senza prima crittografarli. "Sebbene non sia l'ideale, questa è certamente la norma per la maggior parte delle app che memorizzano dati sulla scheda SD", ha affermato Andrew Hoog, CEO e co-fondatore di viaForensics. La società ha avvisato gli sviluppatori di app in passato, ha affermato.

Includi sicurezza Altre app di messaggistica riconosciute mostrano comportamenti simili. "Vogliamo aumentare la consapevolezza degli utenti del problema più ampio della crittografia dei file system per telefoni cellulari, che è una necessità per la privacy dei dati", ha affermato Erik Cabetas, Managing Partner di Include Security.

È il lavoro dell'app?

Su SecurityWatch, ricordiamo spesso ai lettori di abilitare un passcode o un PIN per proteggere il contenuto dei loro dati nel caso in cui il loro dispositivo venga smarrito o rubato. Il fatto che un ladro possa semplicemente inserire la scheda SD in un altro dispositivo e vedere i dati di posta annulla l'intera aspettativa che la protezione del dispositivo fisico manterrebbe gli aggressori fuori dai nostri dati. La domanda, tuttavia, è semplice: è compito dell'app crittografare i dati o l'utente?

Secondo Soto, Microsoft ha dichiarato a Includi sicurezza che "gli utenti non dovrebbero presumere che i dati siano crittografati per impostazione predefinita in qualsiasi applicazione o sistema operativo a meno che non sia stata fatta una promessa esplicita in tal senso".

Soto ha detto che dovrebbe essere il contrario, poiché è ragionevole che gli utenti assumano il PIN che inseriscono per aprire l'app proteggendo anche la fiducia dei loro messaggi. "Per lo meno, i venditori di app possono avvisare un utente e suggerire di crittografare il file system poiché l'applicazione non fornisce alcuna garanzia di riservatezza", ha affermato Soto.

"I clienti che desiderano crittografare la posta elettronica possono eseguire le impostazioni del telefono e crittografare i dati della scheda SD", ha dichiarato un portavoce di Microsoft a SecurityWatch.

Sfortunatamente, questo sembra essere "un comportamento comune che vediamo spesso", ha dichiarato Kevin Watkins, capo architetto e co-fondatore di Appthority. Ogni volta che i dati privati ​​vengono archiviati localmente sul dispositivo, sono generalmente accessibili da un utente malintenzionato. Il problema è che anche se gli sviluppatori di app implementano protezioni, un utente malintenzionato determinato o abbastanza tenace può comunque decrittografare i dati, ha osservato Watkins.

Microsoft ha dichiarato a SecurityWatch che i dati di un'app non sono accessibili illegalmente da altre app su Android a causa della funzionalità sandbox. Questo è vero se l'app archivia gli allegati nella directory dei dati dell'app e non sulla scheda SD. Come notato da Hoog, ciò può occupare troppo spazio, motivo per cui gli sviluppatori utilizzano invece la scheda SD.

L'app può scaricare temporaneamente i file nella directory / tmp, il che significa che gli utenti devono scaricare il file ogni volta, ha detto Hoog. Ma quella decisione ha le sue insidie.

Chi è interessato

La maggior parte dei consumatori potrebbe non essere pazza per le implicazioni sulla privacy, ma l'impatto su di essi è "relativamente minore", ha dichiarato Maxim Weinstein, consulente per la sicurezza di Sophos.

Le maggiori implicazioni sono per le organizzazioni che utilizzano Outlook.com e inviano dati di valore elevato tramite e-mail. Tuttavia, dovrebbero già utilizzare software di gestione dei dispositivi mobili e altri strumenti per garantire che i dati siano adeguatamente protetti, ha affermato Weinstein.

Per lo meno, gli utenti dovrebbero già crittografare i dati della scheda SD in modo che qualcuno non possa semplicemente rubare la scheda e leggere i file.

Includi sicurezza aveva altri consigli: disattiva il debug USB sul dispositivo Android andando su Impostazioni-Opzioni sviluppatore. Modificare la directory di download predefinita per gli allegati e-mail in un percorso diverso dalla scheda SD (/ sdcard / external_sd). In questo modo, anche se il dispositivo viene smarrito o rubato, i dati vengono protetti dietro il PIN o il passcode del dispositivo e non esposti.

Si applicano altri comportamenti di sicurezza mobile, come evitare app da fonti diverse da app store affidabili, installare software di sicurezza mobile e proteggere il dispositivo con password.

"Cerca di non perdere il telefono", ha detto Watkins.

L'app Android di Outlook.com non crittografa i file. perchè non lo sei?