Video: Hvordan sende en kryptert epost med Office 365 🔒 (Oktober 2024)
Hvis du bruger Android-appen til at læse og sende e-mail fra Outlook.com, gemmes e-mail-vedhæftede filer ikke sikkert. Microsoft hævder, at kryptering ikke er appens ansvar i første omgang.
Forskere hos Include Security omvendt konstrueret Microsofts Android-klient til Outlook.com og fandt, at e-mail-vedhæftede filer er gemt ukrypteret på enhedens SD-kort, skrev forsker Paolo Soto på virksomhedens blog i sidste uge. Disse filer kan læses af enhver app, der har adgang til SD-kortet. Alle kan pop SD-kortet på en anden enhed og læse indholdet.
En følelse af déjà vu, nogen? Tidligere denne måned blev Apple kritiseret, da det viste sig, at postvedhæftede filer ikke konsekvent blev krypteret på iOS-enheder. Det faktum, at vedhæftede filer ikke er krypteret på iOS, kan give røde flag for virksomheder og regeringer, der har medarbejdere, der får adgang til arbejdsdata på mobile enheder. IOS-problemet havde begrænset betydning, fordi enhedens adgangskode fungerede som en afskrækkende virkning. I dette tilfælde, hvis appen imidlertid gemmer filerne på SD-kortet, er der ingen vejspærring til at holde angribere væk.
Det er værd at bemærke, at mange andre apps gemmer filer på SD-kortet uden at kryptere dem først. ”Selvom det ikke er ideelt, er dette bestemt normen for de fleste apps, der gemmer data på SD-kortet, ” sagde Andrew Hoog, administrerende direktør og medstifter af viaForensics. Virksomheden har advaret appudviklere i fortiden, sagde han.
Inkluder sikkerhed, som anerkendte andre messaging-apps udviser lignende opførsel. "Vi ønsker at øge brugerens opmærksomhed om det større udgave af mobiltelefons filsystemkryptering som en nødvendighed for databeskyttelse, " sagde Erik Cabetas, administrerende partner hos Include Security.
Er det appens job?
Hos SecurityWatch minder vi ofte læserne om at aktivere en adgangskode eller en PIN-kode til at beskytte indholdet af deres data, hvis deres enhed nogensinde går tabt eller stjålet. Det faktum, at en tyv bare kan pop SD-kortet ind i en anden enhed og se postdata, annullerer hele forventningen om, at sikring af den fysiske enhed ville holde angribere ude af vores data. Spørgsmålet er imidlertid simpelt: Er det appens job at kryptere dataene, eller brugerens?
Ifølge Soto fortalte Microsoft Include Security, at "brugere ikke bør antage, at data som standard er krypteret i nogen applikation eller operativsystem, medmindre der er givet et eksplicit løfte herom."
Soto sagde, at det omvendte burde være tilfældet, da det er rimeligt for brugerne at antage, at den pinkode, de indtaster for at åbne appen, også beskytter fortroligheden af deres meddelelser. "I det mindste kan app-leverandører advare en bruger og foreslå, at de krypterer filsystemet, da applikationen ikke giver nogen sikkerhed for fortrolighed, " sagde Soto.
"Kunder, der ønsker at kryptere deres e-mail, kan gennemgå deres telefonindstillinger og kryptere SD-kortdata, " fortæller en talsmand fra Microsoft til SecurityWatch.
Desværre ser det ud til at være "en fælles opførsel, som vi ofte ser, " sagde Kevin Watkins, chefarkitekt og medstifter af Appthority. Når som helst private data gemmes lokalt på enheden, er de generelt tilgængelige af en angriber. Problemet er, at selv hvis appudviklere implementerer beskyttelsesforanstaltninger, kan en angriber, der er bestemt eller iherdig nok, stadig kunne dekryptere dataene, bemærkede Watkins.
Microsoft fortalte SecurityWatch, at data fra en app ikke kan få adgang til ulovligt af andre apps på Android på grund af sandkasse-funktionen. Det er sandt, hvis appen gemmer vedhæftede filer i appens datakatalog og ikke SD-kortet. Som Hoog bemærkede, kan det tage for meget plads, hvorfor udviklere i stedet bruger SD-kortet.
Appen kan midlertidigt downloade filer til / tmp-biblioteket, hvilket vil betyde, at brugere skal downloade filen hver gang, sagde Hoog. Men denne beslutning har sine egne faldgruber.
Hvem er berørt
De fleste forbrugere er måske ikke vilde med hensyn til privatlivets konsekvenser, men virkningen på dem er "relativt mindre", sagde Maxim Weinstein, en sikkerhedsrådgiver hos Sophos.
De største implikationer er for organisationer, der bruger Outlook.com og sender data af høj værdi via e-mail. Dog burde de allerede bruge software til styring af mobilenheder og andre værktøjer for at sikre, at data er korrekt beskyttet, sagde Weinstein.
I det mindste skal brugerne allerede kryptere SD-kortdata, så nogen ikke bare kan stjæle kortet og læse filerne.
Inkluder sikkerhed havde andre anbefalinger: Sluk for USB-debugging på Android-enheden ved at gå til Indstillinger-Udviklerindstillinger. Skift standardoverførselsbibliotek for e-mail-vedhæftede filer til et andet sted end SD-kortet (/ sdcard / eksterne_sd). På den måde, selvom enheden er mistet eller stjålet, er dataene beskyttet bag enhedens PIN-kode eller adgangskode og ikke eksponeret.
Andre mobile sikkerhedsadfærd gælder, såsom at undgå apps fra andre kilder end pålidelige app-butikker, installation af mobilsikkerhedssoftware og adgangskodebeskyttelse af enheden.
"Prøv ikke at miste din telefon, " sagde Watkins.
