Video: How to Setup Outlook on Android Phone (November 2024)
Als u de Android-app gebruikt om e-mail van Outlook.com te lezen en te verzenden, worden e-mailbijlagen niet veilig opgeslagen. Microsoft stelt dat codering in de eerste plaats niet de verantwoordelijkheid van de app is.
Onderzoekers van include Security hebben de Android-client van Microsoft voor Outlook.com reverse-ontworpen en geconstateerd dat e-mailbijlagen ongecodeerd worden opgeslagen op de SD-kaart van het apparaat, schreef onderzoeker Paolo Soto vorige week op de blog van het bedrijf. Deze bestanden kunnen worden gelezen door elke app die toegang heeft tot de SD-kaart. Iedereen kan de SD-kaart in een ander apparaat plaatsen en de inhoud lezen.
Een gevoel van déjà vu, iemand? Eerder deze maand kreeg Apple kritiek toen bleek dat e-mailbijlagen niet consistent werden gecodeerd op iOS-apparaten. Het feit dat bijlagen niet worden gecodeerd op iOS kan rode vlaggen veroorzaken voor bedrijven en overheden die werknemers hebben die toegang hebben tot werkgegevens op mobiele apparaten. Het iOS-probleem had een beperkte impact omdat de toegangscode van het apparaat als afschrikmiddel werkte. In dit geval is er echter geen wegversperring om aanvallers weg te houden als de app de bestanden op de SD-kaart opslaat.
Het is vermeldenswaard dat veel andere apps bestanden op de SD-kaart opslaan zonder ze eerst te coderen. "Hoewel niet ideaal, is dit zeker de norm voor de meeste apps die gegevens opslaan op de SD-kaart", zegt Andrew Hoog, CEO en mede-oprichter van viaForensics. Het bedrijf heeft in het verleden app-ontwikkelaars gewaarschuwd, zei hij.
Opnemen Beveiliging erkend dat andere berichten-apps vergelijkbaar gedrag vertonen. "We willen het gebruikersbewustzijn vergroten over het grotere probleem van codering van het bestandssysteem van mobiele telefoons, wat een noodzaak is voor gegevensprivacy", zegt Erik Cabetas, managing partner bij Inclusief Beveiliging.
Is het de taak van de app?
Bij SecurityWatch herinneren we lezers er vaak aan om een toegangscode of een pincode in te schakelen om de inhoud van hun gegevens te beschermen voor het geval hun apparaat ooit verloren raakt of wordt gestolen. Het feit dat een dief de SD-kaart gewoon in een ander apparaat kan plaatsen en de e-mailgegevens kan zien, maakt de volledige verwachting ongedaan dat beveiliging van het fysieke apparaat aanvallers buiten onze gegevens zou houden. De vraag is echter eenvoudig: is het de taak van de app om de gegevens of de gebruiker te coderen?
Volgens Soto zei Microsoft tegen Beveiliging dat "gebruikers niet mogen veronderstellen dat gegevens standaard worden gecodeerd in een applicatie of besturingssysteem tenzij een expliciete belofte is gedaan."
Soto zei dat het omgekeerde het geval zou moeten zijn, omdat het redelijk is dat gebruikers ervan uitgaan dat de PIN die ze invoeren om de app te openen, ook de vertrouwelijkheid van hun berichten beschermt. "App-leveranciers kunnen op zijn minst een gebruiker waarschuwen en suggereren dat ze het bestandssysteem versleutelen, omdat de toepassing geen garantie voor vertrouwelijkheid biedt, " zei Soto.
"Klanten die hun e-mail willen coderen, kunnen hun telefooninstellingen doorlopen en de SD-kaartgegevens coderen, " vertelde een woordvoerder van Microsoft aan SecurityWatch.
Helaas lijkt dit "een veel voorkomend gedrag dat we vaak zien", zei Kevin Watkins, hoofdarchitect en mede-oprichter van Appthority. Telkens wanneer privégegevens lokaal op het apparaat worden opgeslagen, zijn deze in het algemeen toegankelijk voor een aanvaller. Het probleem is dat zelfs als app-ontwikkelaars beveiligingsmaatregelen implementeren, een aanvaller die vastberaden of vasthoudend genoeg is, de gegevens nog steeds kan ontcijferen, merkte Watkins op.
Microsoft vertelde SecurityWatch dat gegevens van de ene app niet illegaal toegankelijk zijn voor andere apps op Android vanwege de sandbox-functie. Dat is waar als de app bijlagen opslaat in de gegevensmap van de app en niet op de SD-kaart. Zoals Hoog al opmerkte, kan dat te veel ruimte innemen. Daarom gebruiken ontwikkelaars in plaats daarvan de SD-kaart.
De app kan tijdelijk bestanden downloaden naar de map / tmp, wat betekent dat gebruikers het bestand elke keer moeten downloaden, zei Hoog. Maar die beslissing heeft zijn eigen valkuilen.
Wie heeft er last van
De meeste consumenten zijn misschien niet wild over de implicaties voor de privacy, maar de impact daarop is "relatief klein", zegt Maxim Weinstein, beveiligingsadviseur bij Sophos.
De grootste implicaties zijn voor organisaties die Outlook.com gebruiken en waardevolle gegevens via e-mail verzenden. Zein zou echter al software voor het beheer van mobiele apparaten en andere hulpmiddelen moeten gebruiken om ervoor te zorgen dat gegevens goed worden beschermd, aldus Weinstein.
Gebruikers zouden op zijn minst al SD-kaartgegevens moeten coderen, zodat iemand niet alleen de kaart kan stelen en de bestanden kan lezen.
Opnemen Beveiliging had andere aanbevelingen: Schakel USB-foutopsporing op het Android-apparaat uit via Instellingen-Opties voor ontwikkelaars. Wijzig de standaarddownloadmap voor e-mailbijlagen naar een andere locatie dan de SD-kaart (/ sdcard / external_sd). Op die manier worden de gegevens, zelfs als het apparaat verloren of gestolen is, achter de pincode van het apparaat beschermd en niet zichtbaar.
Ander mobiel beveiligingsgedrag is van toepassing, zoals het vermijden van apps van andere bronnen dan vertrouwde app-winkels, het installeren van mobiele beveiligingssoftware en het beveiligen met een wachtwoord van het apparaat.
"Probeer je telefoon niet kwijt te raken, " zei Watkins.
