บ้าน Securitywatch แอพ android ของ Outlook.com ไม่ได้เข้ารหัสไฟล์ ทำไมคุณไม่

แอพ android ของ Outlook.com ไม่ได้เข้ารหัสไฟล์ ทำไมคุณไม่

วีดีโอ: เพลง๠ดนซ์มาใหม่2017เบส๠น่นฟังà (ธันวาคม 2024)

วีดีโอ: เพลง๠ดนซ์มาใหม่2017เบส๠น่นฟังà (ธันวาคม 2024)
Anonim

หากคุณใช้แอพ Android เพื่ออ่านและส่งอีเมลจาก Outlook.com ไฟล์แนบของอีเมลจะไม่ถูกบันทึกอย่างปลอดภัย Microsoft ระบุว่าการเข้ารหัสไม่ใช่ความรับผิดชอบของแอพในตอนแรก

นักวิจัยที่รวมถึงการรักษาความปลอดภัยกลับลูกค้า Android ของ Microsoft สำหรับ Outlook.com และพบว่าสิ่งที่แนบมากับอีเมลจะถูกเก็บไว้ใน SD การ์ดของอุปกรณ์ที่ไม่มีการเข้ารหัสนักวิจัย Paolo Soto เขียนไว้ในบล็อกของ บริษัท เมื่อสัปดาห์ที่แล้ว แอพใด ๆ ที่สามารถเข้าถึงการ์ด SD ไฟล์เหล่านี้สามารถอ่านได้ ทุกคนสามารถใส่การ์ด SD ลงในอุปกรณ์อื่นและอ่านเนื้อหาได้

ความรู้สึกของเดจาวูทุกคน? เมื่อต้นเดือนที่ผ่านมา Apple ถูกวิพากษ์วิจารณ์เมื่อมีการเปิดไฟล์แนบเมลที่ไม่ได้รับการเข้ารหัสบนอุปกรณ์ iOS อย่างสม่ำเสมอ ความจริงที่ว่าสิ่งที่แนบมานั้นไม่ได้เข้ารหัสบน iOS อาจเพิ่มค่าสถานะสีแดงสำหรับ บริษัท และรัฐบาลที่มีพนักงานที่เข้าถึงข้อมูลงานบนอุปกรณ์มือถือ ปัญหา iOS มีผลกระทบ จำกัด เนื่องจากรหัสผ่านอุปกรณ์ทำงานเป็นเครื่องยับยั้ง อย่างไรก็ตามในกรณีนี้หากแอปบันทึกไฟล์บนการ์ด SD จะไม่มีสิ่งกีดขวางบนถนนที่จะป้องกันผู้บุกรุก

เป็นที่น่าสังเกตว่ามีแอพอื่น ๆ เก็บไฟล์ไว้ในการ์ด SD โดยไม่ต้องเข้ารหัสก่อน แอนดรูฮวอกซีอีโอและผู้ร่วมก่อตั้งของ viaForensics กล่าวว่าแม้จะไม่เหมาะ แต่นี่ก็เป็นมาตรฐานสำหรับแอพส่วนใหญ่ที่เก็บข้อมูลไว้ในการ์ด SD บริษัท ได้แจ้งเตือนผู้พัฒนาแอปในอดีตเขากล่าว

รวมถึงความปลอดภัยที่รับทราบว่าแอพส่งข้อความอื่นมีพฤติกรรมคล้ายกัน “ เราต้องการเพิ่มการรับรู้ของผู้ใช้เกี่ยวกับการเข้ารหัสระบบไฟล์โทรศัพท์มือถือที่มีขนาดใหญ่ขึ้นซึ่งเป็นสิ่งจำเป็นสำหรับความเป็นส่วนตัวของข้อมูล” Erik Cabetas หุ้นส่วนผู้จัดการของ Include Security กล่าว

มันเป็นงานของแอพไหม

ที่ SecurityWatch เรามักเตือนผู้อ่านให้เปิดใช้งานรหัสผ่านหรือ PIN เพื่อปกป้องเนื้อหาของข้อมูลของพวกเขาในกรณีที่อุปกรณ์ของพวกเขาเคยสูญหายหรือถูกขโมย ความจริงที่ว่าโจรขโมยการ์ด SD สามารถเปิดเข้าไปในอุปกรณ์ที่แตกต่างกันและดูข้อมูลอีเมลเป็นโมฆะความคาดหวังทั้งหมดที่การรักษาความปลอดภัยอุปกรณ์ทางกายภาพจะป้องกันผู้โจมตีจากข้อมูลของเรา อย่างไรก็ตามคำถามนั้นง่ายมาก: เป็นหน้าที่ของแอปในการเข้ารหัสข้อมูลหรือของผู้ใช้หรือไม่

ตามที่ Soto, Microsoft บอกว่ารวมถึงการรักษาความปลอดภัยว่า "ผู้ใช้ไม่ควรถือว่าข้อมูลถูกเข้ารหัสโดยค่าเริ่มต้นในแอพพลิเคชั่นหรือระบบปฏิบัติการใด ๆ

โซโตกล่าวว่าการย้อนกลับควรเป็นเช่นนี้เนื่องจากมีเหตุผลที่ผู้ใช้จะถือว่า PIN ที่พวกเขาป้อนเพื่อเปิดแอพนี้ยังช่วยปกป้องความลับของข้อความของพวกเขาด้วย "อย่างน้อยที่สุดผู้ขายแอปสามารถเตือนผู้ใช้และแนะนำให้พวกเขาเข้ารหัสระบบไฟล์เนื่องจากแอปพลิเคชันไม่รับประกันความลับ" Soto กล่าว

"ลูกค้าที่ต้องการเข้ารหัสอีเมลสามารถผ่านการตั้งค่าโทรศัพท์และเข้ารหัสข้อมูลในการ์ด SD" โฆษกของ Microsoft กล่าวกับ SecurityWatch

น่าเสียดายที่สิ่งนี้ดูเหมือนจะเป็น "พฤติกรรมทั่วไปที่เราเห็นบ่อย ๆ " Kevin Watkins หัวหน้าสถาปนิกและผู้ร่วมก่อตั้ง Appthority กล่าว ข้อมูลส่วนตัวทุกครั้งจะถูกจัดเก็บไว้ในอุปกรณ์โดยทั่วไปผู้โจมตีสามารถเข้าถึงได้ ปัญหาคือแม้ว่าผู้พัฒนาแอปจะใช้การป้องกัน แต่ผู้โจมตีที่ถูกกำหนดหรือหวงแหนมากพอก็ยังสามารถถอดรหัสข้อมูลได้ Watkins กล่าว

Microsoft บอก SecurityWatch ว่าแอปอื่นไม่สามารถเข้าถึงข้อมูลจากแอปหนึ่งอย่างผิดกฎหมายบน Android ได้เนื่องจากคุณสมบัติแซนด์บ็อกซ์ นี่เป็นเรื่องจริงหากแอปจัดเก็บสิ่งที่แนบในไดเรกทอรีข้อมูลของแอปไม่ใช่การ์ด SD ดังที่ Hoog ตั้งข้อสังเกตว่าอาจใช้พื้นที่มากเกินไปซึ่งเป็นสาเหตุที่นักพัฒนาใช้การ์ด SD แทน

แอปสามารถดาวน์โหลดไฟล์ไปยังไดเรกทอรี / tmp ชั่วคราวซึ่งหมายความว่าผู้ใช้จะต้องดาวน์โหลดไฟล์ทุกครั้ง Hoog กล่าว แต่การตัดสินใจนั้นมีข้อผิดพลาดของตัวเอง

ใครได้รับผลกระทบ

ผู้บริโภคส่วนใหญ่อาจไม่มั่นใจในเรื่องความเป็นส่วนตัว แต่ผลกระทบต่อพวกเขาคือ "ค่อนข้างน้อย" Maxim Weinstein ที่ปรึกษาด้านความปลอดภัยของ Sophos กล่าว

สิ่งที่สำคัญที่สุดสำหรับองค์กรที่ใช้ Outlook.com และส่งข้อมูลที่มีมูลค่าสูงผ่านทางอีเมล อย่างไรก็ตามพวกเขาควรใช้ซอฟต์แวร์การจัดการอุปกรณ์พกพาและเครื่องมืออื่น ๆ เพื่อให้แน่ใจว่าข้อมูลได้รับการปกป้องอย่างเหมาะสม Weinstein กล่าว

อย่างน้อยที่สุดผู้ใช้ควรเข้ารหัสข้อมูลในการ์ด SD อยู่แล้วเพื่อให้บางคนไม่สามารถขโมยการ์ดและอ่านไฟล์ได้

รวมถึงการรักษาความปลอดภัยมีคำแนะนำอื่น ๆ : ปิดการดีบัก USB บนอุปกรณ์ Android โดยไปที่ตัวเลือกการตั้งค่าสำหรับนักพัฒนา เปลี่ยนไดเรกทอรีดาวน์โหลดเริ่มต้นสำหรับไฟล์แนบอีเมลไปยังตำแหน่งอื่นนอกเหนือจากการ์ด SD (/ sdcard / external_sd) ด้วยวิธีนี้แม้ว่าอุปกรณ์จะสูญหายหรือถูกขโมย แต่ข้อมูลจะได้รับการปกป้องหลังรหัส PIN หรือรหัสผ่านของอุปกรณ์และไม่ถูกเปิดเผย

มีพฤติกรรมการรักษาความปลอดภัยมือถืออื่น ๆ เช่นการหลีกเลี่ยงแอพจากแหล่งอื่นที่ไม่ใช่ร้านแอพที่เชื่อถือได้การติดตั้งซอฟต์แวร์ความปลอดภัยมือถือและการป้องกันรหัสผ่านของอุปกรณ์

“ พยายามอย่าทำโทรศัพท์ของคุณหาย” Watkins กล่าว

แอพ android ของ Outlook.com ไม่ได้เข้ารหัสไฟล์ ทำไมคุณไม่