Video: "SKRYTÉ" FUNKCE NA ANDROID MOBILECH (2020) (Listopad 2024)
Pokud používáte aplikaci Android ke čtení a odesílání e-mailů z Outlook.com, e-mailové přílohy se neukládají bezpečně. Microsoft tvrdí, že šifrování není v první řadě odpovědností aplikace.
Výzkumní pracovníci společnosti Include Security provedli reverzní inženýrství klienta Android společnosti Microsoft pro aplikaci Outlook.com a zjistili, že přílohy e-mailu jsou nešifrované na SD kartě zařízení, napsal minulý týden výzkumník Paolo Soto na blogu společnosti. Tyto soubory si může přečíst jakákoli aplikace, která má přístup na SD kartu. Kdokoli může vložit SD kartu do jiného zařízení a přečíst si obsah.
Pocit déjà vu, někdo? Začátkem tohoto měsíce byla společnost Apple kritizována, když se ukázalo, že přílohy e-mailů nebyly na zařízeních iOS neustále šifrovány. Skutečnost, že přílohy nejsou šifrovány v systému iOS, může zvýšit korporace a vlády, které mají zaměstnance přístup k pracovním datům na mobilních zařízeních. Problém s iOS měl omezený dopad, protože přístupový kód zařízení pracoval jako odstrašující prostředek. Pokud však aplikace ukládá soubory na SD kartu, není blokování útočníků pryč.
Stojí za zmínku, že mnoho dalších aplikací ukládá soubory na SD kartu, aniž by je nejprve zašifrovalo. „I když to není ideální, je to určitě standard pro většinu aplikací, které ukládají data na SD kartu, “ řekl Andrew Hoog, generální ředitel a spoluzakladatel viaForensics. Společnost upozornila vývojáře aplikací v minulosti, řekl.
Zahrnout zabezpečení potvrzuje, že jiné aplikace pro zasílání zpráv vykazují podobné chování. „Chceme zvýšit povědomí uživatelů o větším problému šifrování souborového systému mobilních telefonů, který je nezbytný pro ochranu osobních údajů, “ řekl Erik Cabetas, řídící partner společnosti Include Security.
Je to práce aplikace?
Na SecurityWatch čtenářům často připomínáme, aby povolili přístupový kód nebo PIN pro ochranu obsahu svých dat v případě, že se jejich zařízení ztratí nebo odcizení. Skutečnost, že zloděj může jen vložit SD kartu do jiného zařízení a vidět data pošty, ruší všechna očekávání, že zabezpečení fyzického zařízení by útočníky zabránilo našim datům. Otázka je však jednoduchá: Je úkolem aplikace šifrovat data nebo uživatele?
Podle společnosti Soto společnost Microsoft společnosti Include Security uvedla, že „uživatelé by neměli předpokládat, že data jsou ve výchozím nastavení šifrována v jakékoli aplikaci nebo operačním systému, pokud k tomu nedojde výslovně.“
Soto řekl, že by tomu tak mělo být naopak, protože je rozumné, aby uživatelé předpokládali PIN, který zadají, aby otevřeli aplikaci, chrání také důvěrnost jejich zpráv. „Prodejci aplikací mohou uživatele přinejmenším varovat a navrhnout, aby šifrovali systém souborů, protože aplikace neposkytuje žádnou záruku důvěrnosti, “ řekl Soto.
„Zákazníci, kteří chtějí zašifrovat svůj e-mail, mohou procházet nastavením telefonu a šifrovat data na kartě SD, “ řekl mluvčí společnosti Microsoft SecurityWatch.
Bohužel se to jeví jako „běžné chování, které často vidíme, “ řekl Kevin Watkins, hlavní architekt a spoluzakladatel Appthority. Kdykoli jsou soukromá data uložena lokálně v zařízení, je obvykle přístupná útočníkovi. Problém je v tom, že i když vývojáři aplikací implementují zabezpečení, útočník, který je odhodlaný nebo dostatečně houževnatý, může data stále dešifrovat, poznamenal Watkins.
Společnost Microsoft sdělila společnosti SecurityWatch, že k datům z jedné aplikace nemohou nelegálně přistupovat jiné aplikace na Android kvůli funkci karantény. To platí, pokud aplikace ukládá přílohy do datového adresáře aplikace, nikoli na SD kartu. Jak poznamenal Hoog, může to zabírat příliš mnoho místa, a proto vývojáři místo toho používají SD kartu.
Aplikace může dočasně stahovat soubory do adresáře / tmp, což by znamenalo, že uživatelé musí soubor stahovat pokaždé, řekl Hoog. Toto rozhodnutí však má své vlastní úskalí.
Kdo je ovlivněn
Většina spotřebitelů nemusí mít divoký dopad na soukromí, ale dopad na ně je „relativně malý“, řekl Maxim Weinstein, bezpečnostní poradce v Sophosu.
Největší důsledky jsou pro organizace, které používají Outlook.com a odesílají prostřednictvím e-mailu vysoce hodnotná data. Měli by však již používat software pro správu mobilních zařízení a další nástroje k zajištění řádné ochrany dat, řekl Weinstein.
Uživatelé by již měli alespoň šifrovat data SD karty, aby někdo nemohl kartu pouze ukrást a přečíst soubory.
Zahrnout zabezpečení mělo další doporučení: Vypněte ladění USB na zařízení Android přejděte do Nastavení - Vývojářské možnosti. Změňte výchozí adresář pro stahování e-mailových příloh na jiné místo než na SD kartu (/ sdcard / external_sd). Tímto způsobem, i když je zařízení ztraceno nebo odcizeno, jsou data chráněna za PIN nebo přístupovým kódem zařízení a nejsou vystavena.
Platí i jiná chování týkající se zabezpečení mobilních zařízení, například vyhýbání se aplikacím z jiných zdrojů než důvěryhodných obchodů s aplikacemi, instalace mobilního bezpečnostního softwaru a ochrana zařízení heslem.
„Zkuste ztratit telefon, “ řekl Watkins.
