:

Szerző: Bodnár Ádám

2014. május 23. 10:55

Titkosítatlanul tárolja a leveleket az androidos Outlook.com

Meglepő felfedezésre jutott az androidos Outlook.com alkalmazás visszafejtésével az Include Security. A Microsoft levelezőszolgáltatásának androidos kliense titkosítás nélkül tárolja a leveleket és a csatolt fájlokat is a készülékeken.

Banális hibát fedezett fel az androidos Outlook.com alkalmazásban az Include Security. A biztonsági cég tanulási célzattal fejtett vissza népszerű mobilos alkalmazásokat, és azt találta, egyes kommunikációs appok gyártói nem tesznek meg mindent annak érdekében, hogy a tárolt adatokat biztonságban tudják. A Microsoft online levelezőjének az Outlook.comnak a kliense is ezek közé tartozik.

A vállalat a vizsgálatai során azt találta, hogy az androidos Outlook.com kliens sem a leveleket, sem pedig a hozzájuk csatolt állományokat nem titkosítja és nem is védi. Ez a gyakorlatban annyit tesz, hogy a csatolt állományokhoz tetszőleges, READ_EXTERNAL_STORAGE joggal rendelkező alkalmazás hozzáfér a fájlrendszeren (Android 4.4 előtti verziókon). Az alkalmazásban ugyan beállítható egy PIN kód, ez azonban csak a grafikus felületet védi, a PIN nélkül nem indul el maga az alkalmazás, de a benne tárolt adatok hozzáférhetők maradnak és akár egy fájlkezelő szoftverből is böngészhetők, vagy egy másik alkalmazás számára elérhetők ha a telefon rootolt. Az Outlook.com a készüléken cache-elt levelek tárgyát és teljes törzsét "plain textben" tárolja.

Az Outlook.com alkalmazást nem a Microsoft fejlesztette, azt a cég megbízásából egy Seven Networks nevű vállalat készítette el. Az Include Security még tavaly megkereste a problémával a Microsoftot, azonban a redmondiak úgy vélték, az alkalmazás nem hibás, működése biztonsági szempontból nem aggályos. A vállalat szerint "a felhasználóknak nem szabad abból kiindulniuk, hogy az adataikat bármilyen alkalmazás vagy operációs rendszer alapértelmezésként titkosítja, hacsak nincs erre utaló közvetlen tájékoztatás".

Az AI és a nagy full-full-stack trend

Az AI farvizén számos új informatikai munkakör születik, vagy már ismert munkák kapnak új nevet és vele extra elvárásokat is.

Az AI és a nagy full-full-stack trend Az AI farvizén számos új informatikai munkakör születik, vagy már ismert munkák kapnak új nevet és vele extra elvárásokat is.

Redmondban úgy vélik, aki aggódik az Outlook.comban tárolt adatokért, csak kapcsolja be a telefonján a háttértár titkosítását, ezzel megakadályozható, hogy egy alkalmazás felhasználói interakció nélkül hozzáférjen egy másik adataihoz. Az Include Security ehhez még annyit tesz hozzá, a még nagyobb védelem értekében érdemes az alkalmazásban átállítani a csatolmányok letöltési helyét, valamint kikapcsolni az USB debugging módot is a készüléken, ha az be volt kapcsolva korábban.

Az Include Security blogbejegyzése az Outlook.com működéséről itt olvasható el.

Szeptember 15-én, hétfőn ONLINE formátumú, a Kafka alapjaiba bevezető képzést indít a HWSW, ezért most összefoglaltuk röviden, hogy miért érdemes részt venni ezen a tanfolyamon.

a címlapról

MS

0

Lezárta a Teams-ügyet az EU

2025. szeptember 12. 12:45

A Bizottság elfogadta a Microsoft által tett engedményeket, nincs retorzió az idestova öt éve húzódó eljárás végén.

bango

7

Tartalomautomatával bővül a OneTV

2025. szeptember 12. 09:27

A One tévés platformjába a Bango DVM-jét integrálják, ami jelentős mértékben megkönnyíti az új tartalomszolgáltatások bevezetését.