Video: Hvordan sende en kryptert epost med Office 365 🔒 (Oktober 2024)
Hvis du bruker Android-appen til å lese og sende e-post fra Outlook.com, lagres ikke e-postvedlegg sikkert. Microsoft hevder at kryptering ikke er appens ansvar i utgangspunktet.
Forskere ved Include Security omvendt utviklet Microsofts Android-klient for Outlook.com og fant ut at e-postvedlegg lagres ukryptert på enhetens SD-kort, skrev forsker Paolo Soto på selskapets blogg forrige uke. Disse filene kan leses av alle apper som har tilgang til SD-kortet. Hvem som helst kan pop SD-kortet inn på en annen enhet og lese innholdet.
En følelse av déjà vu, noen? Tidligere denne måneden ble Apple kritisert da det viste seg at postvedlegg ikke konsekvent ble kryptert på iOS-enheter. Det at vedlegg ikke er kryptert på iOS, kan føre til røde flagg for selskaper og myndigheter som har ansatte som får tilgang til arbeidsdata på mobile enheter. IOS-problemet hadde begrenset innvirkning fordi passordkoden til enheten fungerte som avskrekkende. I dette tilfellet, men hvis appen lagrer filene på SD-kortet, er det ingen veisperring for å holde angripere borte.
Det er verdt å merke seg at mange andre apper lagrer filer på SD-kortet uten å kryptere dem først. "Selv om det ikke er ideelt, er dette absolutt normen for de fleste apper som lagrer data på SD-kortet, " sa Andrew Hoog, administrerende direktør og medgründer av viaForensics. Selskapet har varslet apputviklere i det siste, sa han.
Inkluder sikkerhet anerkjent andre meldingsapper viser lignende oppførsel. "Vi ønsker å øke brukerens bevissthet om den større utgaven av filsystemkryptering for mobiltelefoner som en nødvendighet for datasikkerhet, " sa Erik Cabetas, administrerende partner hos Include Security.
Er det appens jobb?
Hos SecurityWatch minner vi leserne ofte om å aktivere en passordkode eller en PIN-kode for å beskytte innholdet i dataene sine i tilfelle enheten noen gang går tapt eller blir stjålet. Det faktum at en tyv kan bare pop SD-kortet inn i en annen enhet og se postdata, ugyldiggjør hele forventningen om at å sikre den fysiske enheten ville hindre angriperne utenfor våre data. Spørsmålet er imidlertid enkelt: Er det appens jobb å kryptere dataene, eller brukerens?
I følge Soto sa Microsoft til Include Security at "brukere ikke bør anta at data er kryptert som standard i noen applikasjoner eller operativsystem, med mindre det er gitt et eksplisitt løfte om det."
Soto sa at det motsatte burde være tilfelle, siden det er rimelig at brukere antar at PIN-koden de oppgir for å åpne appen, også beskytter konfidensialiteten til meldingene deres. "I det minste kan appleverandører advare en bruker og foreslå at de krypterer filsystemet ettersom applikasjonen ikke gir noen garanti for konfidensialitet, " sa Soto.
"Kunder som ønsker å kryptere e-posten deres, kan gå gjennom telefoninnstillingene og kryptere SD-kortdata, " sa en talsperson fra Microsoft til SecurityWatch.
Dessverre ser dette ut til å være "en vanlig oppførsel vi ofte ser, " sa Kevin Watkins, sjefsarkitekt og medgründer av Appthority. Når som helst private data lagres lokalt på enheten, er de vanligvis tilgjengelige av en angriper. Problemet er at selv om apputviklere implementerer sikkerhetstiltak, kan en angriper som er bestemt eller iherdig nok fortsatt kunne dekryptere dataene, bemerket Watkins.
Microsoft sa til SecurityWatch at data fra en app ikke kan få tilgang til ulovlig av andre apper på Android på grunn av sandkassefunksjonen. Det stemmer hvis appen lagrer vedlegg i appens datakatalog og ikke SD-kortet. Som Hoog bemerket, kan det ta for mye plass, og derfor bruker utviklerne SD-kortet i stedet.
Appen kan midlertidig laste ned filer til / tmp-katalogen, noe som vil bety at brukere må laste ned filen hver gang, sa Hoog. Men den avgjørelsen har sine egne fallgruver.
Hvem er berørt
De fleste forbrukere er kanskje ikke vill om personvernkonsekvensene, men innvirkningen på dem er "relativt liten, " sa Maxim Weinstein, en sikkerhetsrådgiver hos Sophos.
De største implikasjonene er for organisasjoner som bruker Outlook.com og sender data med høy verdi via e-post. Imidlertid bør de allerede bruke programvare for styring av mobilenheter og andre verktøy for å sikre at dataene er riktig beskyttet, sa Weinstein.
I det minste skal brukere allerede kryptere SD-kortdata slik at noen ikke bare kan stjele kortet og lese filene.
Inkluder sikkerhet hadde andre anbefalinger: Slå av USB-feilsøking på Android-enheten ved å gå til Innstillinger-utvikleralternativer. Endre standard nedlastningskatalog for e-postvedlegg til et annet sted enn SD-kortet (/ sdcard / eksterne_sd). På den måten, selv om enheten er tapt eller stjålet, blir dataene beskyttet bak enhetens PIN-kode eller passordkode og ikke eksponert.
Andre mobile sikkerhetsatferd gjelder, for eksempel å unngå apper fra andre kilder enn pålitelige app-butikker, installere mobil sikkerhetsprogramvare og passordbeskytte enheten.
"Prøv å ikke miste telefonen, " sa Watkins.
