Titkosítatlanul tárolja a leveleket az androidos Outlook.com
Meglepő felfedezésre jutott az androidos Outlook.com alkalmazás visszafejtésével az Include Security. A Microsoft levelezőszolgáltatásának androidos kliense titkosítás nélkül tárolja a leveleket és a csatolt fájlokat is a készülékeken.
Banális hibát fedezett fel az androidos Outlook.com alkalmazásban az Include Security. A biztonsági cég tanulási célzattal fejtett vissza népszerű mobilos alkalmazásokat, és azt találta, egyes kommunikációs appok gyártói nem tesznek meg mindent annak érdekében, hogy a tárolt adatokat biztonságban tudják. A Microsoft online levelezőjének az Outlook.comnak a kliense is ezek közé tartozik.
A vállalat a vizsgálatai során azt találta, hogy az androidos Outlook.com kliens sem a leveleket, sem pedig a hozzájuk csatolt állományokat nem titkosítja és nem is védi. Ez a gyakorlatban annyit tesz, hogy a csatolt állományokhoz tetszőleges, READ_EXTERNAL_STORAGE joggal rendelkező alkalmazás hozzáfér a fájlrendszeren (Android 4.4 előtti verziókon). Az alkalmazásban ugyan beállítható egy PIN kód, ez azonban csak a grafikus felületet védi, a PIN nélkül nem indul el maga az alkalmazás, de a benne tárolt adatok hozzáférhetők maradnak és akár egy fájlkezelő szoftverből is böngészhetők, vagy egy másik alkalmazás számára elérhetők ha a telefon rootolt. Az Outlook.com a készüléken cache-elt levelek tárgyát és teljes törzsét "plain textben" tárolja.
Az Outlook.com alkalmazást nem a Microsoft fejlesztette, azt a cég megbízásából egy Seven Networks nevű vállalat készítette el. Az Include Security még tavaly megkereste a problémával a Microsoftot, azonban a redmondiak úgy vélték, az alkalmazás nem hibás, működése biztonsági szempontból nem aggályos. A vállalat szerint "a felhasználóknak nem szabad abból kiindulniuk, hogy az adataikat bármilyen alkalmazás vagy operációs rendszer alapértelmezésként titkosítja, hacsak nincs erre utaló közvetlen tájékoztatás".
Promptolsz-e már padawan? Januári, juniorokkal foglalkozó adásunk a téma felsőoktatási aspektusait nem érintette. Ezen most változtatunk.
Redmondban úgy vélik, aki aggódik az Outlook.comban tárolt adatokért, csak kapcsolja be a telefonján a háttértár titkosítását, ezzel megakadályozható, hogy egy alkalmazás felhasználói interakció nélkül hozzáférjen egy másik adataihoz. Az Include Security ehhez még annyit tesz hozzá, a még nagyobb védelem értekében érdemes az alkalmazásban átállítani a csatolmányok letöltési helyét, valamint kikapcsolni az USB debugging módot is a készüléken, ha az be volt kapcsolva korábban.
Az Include Security blogbejegyzése az Outlook.com működéséről itt olvasható el.