אפליקציית האנדרואיד של Outlook.com אינה מצפינה קבצים. למה אתה לא?

אם אתה משתמש באפליקציית Android כדי לקרוא ולשלוח דוא"ל מ- Outlook.com, קבצים מצורפים לדוא"ל לא נשמרים בצורה מאובטחת. מיקרוסופט טוענת שהצפנה אינה באחריות האפליקציה מלכתחילה.

החוקרים ב- Include Security הפכו את לקוח אנדרואיד של מיקרוסופט ל- Outlook.com ומצאו כי קבצים מצורפים לדוא"ל מאוחסנים ללא מוצפנות בכרטיס ה- SD של המכשיר, כך כתב החוקרת פאולו סוטו בבלוג של החברה בשבוע שעבר. ניתן לקרוא קבצים אלה על ידי כל אפליקציה שיש לה גישה לכרטיס ה- SD. כל אחד יכול להקפיץ את כרטיס ה- SD למכשיר אחר ולקרוא את התוכן.

תחושה של דז'ה וו, מישהו? מוקדם יותר החודש ספגה ביקורת על אפל כאשר התברר כי קבצי מצורפים לדואר לא מוצפנים בעקביות במכשירי iOS. העובדה שקבצים מצורפים אינם מוצפנים ב- iOS עשויה להעלות דגלים אדומים עבור תאגידים וממשלות שיש להם עובדים הגישה לנתוני עבודה במכשירים ניידים. לסוגיית iOS הייתה השפעה מוגבלת מכיוון שקוד הסיסמה של המכשיר עבד כהרתעה. עם זאת, במקרה זה, אם האפליקציה שומרת את הקבצים בכרטיס ה- SD, אין מחסום כדי להרחיק את התוקפים.

ראוי לציין כי אפליקציות רבות אחרות מאחסנות קבצים בכרטיס ה- SD מבלי להצפין תחילה. אנדרו הוג, מנכ"ל ומייסד חברת viaForensics, אומר אנדרו הוג, מנכ"ל ומייסד חברת "Forensics ", אף כי אינו אידיאלי, זו בהחלט הנורמה עבור מרבית האפליקציות המאחסנות נתונים בכרטיס ה- SD. החברה התריעה בפני מפתחי אפליקציות בעבר, אמר.

כלול אבטחה שאושרה שאפליקציות העברת הודעות אחרות מציגות התנהגות דומה. "אנו רוצים להגביר את מודעות המשתמשים לנושא הגדול יותר של הצפנת מערכת קבצים לטלפון הנייד בהכרח פרטיות נתונים", אמר אריק סבטאס, שותף מנהל בחברת Include Security.

האם זה העבודה של האפליקציה?

ב- SecurityWatch אנו נזכרים לעיתים קרובות לקוראים לאפשר קוד סיסמא או קוד PIN להגנה על תוכן הנתונים שלהם למקרה שהמכשיר שלהם איבד או ייגנב. העובדה שגנב יכול פשוט להצמיד את כרטיס ה- SD למכשיר אחר ולראות את נתוני הדואר מבטלת את כל הציפייה כי אבטחת המכשיר הפיזי תרחיק את התוקפים מהנתונים שלנו. עם זאת השאלה היא פשוטה: האם תפקידו של האפליקציה להצפין את הנתונים, או של המשתמש?

לפי סוטו, מיקרוסופט אמרה לכלול אבטחה כי "המשתמשים לא צריכים להניח כי נתונים מוצפנים כברירת מחדל בכל יישום או מערכת הפעלה כלשהי אלא אם כן הובטחה הבטחה מפורשת לכך."

סוטו אמר כי ההפך צריך להיות המקרה, מכיוון שהסביר למשתמשים לקחת את ה- PIN שהם מזינים לפתיחת האפליקציה, מגן גם על סודיות ההודעות שלהם. סוטו אמרה כי "לכל הפחות, ספקי אפליקציות יכולים להזהיר משתמש ולהציע להם להצפין את מערכת הקבצים מכיוון שהאפליקציה אינה מספקת שום ביטחון לסודיות."

"לקוחות שרוצים להצפין את הדוא"ל שלהם יכולים לעבור על הגדרות הטלפון שלהם ולהצפין את נתוני כרטיס ה- SD", אמר דובר מיקרוסופט ל- SecurityWatch.

לרוע המזל נראה שזו "התנהגות נפוצה שאנו רואים לעיתים קרובות", אמר קווין ווטקינס, אדריכל ראשי ומייסד משותף של חברת אפתוריטי. נתונים פרטיים בכל עת נשמרים באופן מקומי במכשיר, הם בדרך כלל נגישים על ידי תוקף. הבעיה היא שגם אם מפתחי אפליקציות מיישמים אמצעי הגנה, תוקף נחוש או עקשני מספיק יכול עדיין לפענח את הנתונים, ציין ווטקינס.

מיקרוסופט אמרה ל- SecurityWatch כי לא ניתן לגשת באופן בלתי חוקי לאפליקציות אחרות באנדרואיד למידע מאפליקציה אחת בגלל תכונת ארגז החול. זה נכון אם האפליקציה מאחסנת קבצים מצורפים בספריית הנתונים של האפליקציה ולא בכרטיס ה- SD. כפי שציין Hoog, זה יכול לתפוס יותר מדי מקום, וזו הסיבה שמפתחים משתמשים בכרטיס ה- SD במקום.

האפליקציה יכולה להוריד קבצים לספריית / tmp באופן זמני, מה שאומר שמשתמשים יצטרכו להוריד את הקובץ בכל פעם, אמר Hoog. אך להחלטה זו יש מלכודות משלה.

מי מושפע

מרבית הצרכנים אולי לא משתוללים מהשלכות הפרטיות, אך ההשפעה עליהם היא "מינורית יחסית", אמר מקסים וויינשטיין, יועץ אבטחה בסופוס.

ההשלכות הגדולות ביותר הן על ארגונים המשתמשים ב- Outlook.com ושולחים נתונים בעלי ערך גבוה באמצעות דואר אלקטרוני. עם זאת, הם צריכים כבר להשתמש בתוכנת ניהול מכשירים ניידים ובכלים אחרים כדי להבטיח שהנתונים מוגנים כראוי, אמר ויינשטיין.

לכל הפחות, המשתמשים צריכים כבר להצפין את נתוני כרטיס ה- SD כך שמישהו לא יכול פשוט לגנוב את הכרטיס ולקרוא את הקבצים.

לכלול אבטחה היו המלצות אחרות: כבה באגים ב- USB במכשיר אנדרואיד על ידי מעבר לאפשרויות הגדרות-מפתחים. שנה את ספריית ההורדות המוגדרת כברירת מחדל עבור קבצים מצורפים לדוא"ל למיקום שאינו כרטיס SD (/ sdcard / external_sd). ככה, גם אם המכשיר אבד או נגנב, הנתונים מוגנים מאחורי קוד ה- PIN או הסיסמה של המכשיר ולא נחשפים.

חלות התנהגויות אבטחה סלולריות אחרות, כגון הימנעות מאפליקציות ממקורות שאינם חנויות אפליקציות מהימנות, התקנת תוכנת אבטחה לנייד ושמירה על הסיסמה על המכשיר.

"נסה לא לאבד את הטלפון שלך, " אמר ווטקינס.