Szerző: Bodnár Ádám

2014. május 23. 10:55:00

Titkosítatlanul tárolja a leveleket az androidos Outlook.com

Meglepő felfedezésre jutott az androidos Outlook.com alkalmazás visszafejtésével az Include Security. A Microsoft levelezőszolgáltatásának androidos kliense titkosítás nélkül tárolja a leveleket és a csatolt fájlokat is a készülékeken.

Banális hibát fedezett fel az androidos Outlook.com alkalmazásban az Include Security. A biztonsági cég tanulási célzattal fejtett vissza népszerű mobilos alkalmazásokat, és azt találta, egyes kommunikációs appok gyártói nem tesznek meg mindent annak érdekében, hogy a tárolt adatokat biztonságban tudják. A Microsoft online levelezőjének az Outlook.comnak a kliense is ezek közé tartozik.

A vállalat a vizsgálatai során azt találta, hogy az androidos Outlook.com kliens sem a leveleket, sem pedig a hozzájuk csatolt állományokat nem titkosítja és nem is védi. Ez a gyakorlatban annyit tesz, hogy a csatolt állományokhoz tetszőleges, READ_EXTERNAL_STORAGE joggal rendelkező alkalmazás hozzáfér a fájlrendszeren (Android 4.4 előtti verziókon). Az alkalmazásban ugyan beállítható egy PIN kód, ez azonban csak a grafikus felületet védi, a PIN nélkül nem indul el maga az alkalmazás, de a benne tárolt adatok hozzáférhetők maradnak és akár egy fájlkezelő szoftverből is böngészhetők, vagy egy másik alkalmazás számára elérhetők ha a telefon rootolt. Az Outlook.com a készüléken cache-elt levelek tárgyát és teljes törzsét "plain textben" tárolja.

Az Outlook.com alkalmazást nem a Microsoft fejlesztette, azt a cég megbízásából egy Seven Networks nevű vállalat készítette el. Az Include Security még tavaly megkereste a problémával a Microsoftot, azonban a redmondiak úgy vélték, az alkalmazás nem hibás, működése biztonsági szempontból nem aggályos. A vállalat szerint "a felhasználóknak nem szabad abból kiindulniuk, hogy az adataikat bármilyen alkalmazás vagy operációs rendszer alapértelmezésként titkosítja, hacsak nincs erre utaló közvetlen tájékoztatás".

Mi történik egy mobilappal a születése után? Legtöbbször sajnos semmi. Ezen próbálunk változtatni egy ingyenes appmenedzsment meetuppal és egy 30 órás képzéssel.

Redmondban úgy vélik, aki aggódik az Outlook.comban tárolt adatokért, csak kapcsolja be a telefonján a háttértár titkosítását, ezzel megakadályozható, hogy egy alkalmazás felhasználói interakció nélkül hozzáférjen egy másik adataihoz. Az Include Security ehhez még annyit tesz hozzá, a még nagyobb védelem értekében érdemes az alkalmazásban átállítani a csatolmányok letöltési helyét, valamint kikapcsolni az USB debugging módot is a készüléken, ha az be volt kapcsolva korábban.

Az Include Security blogbejegyzése az Outlook.com működéséről itt olvasható el.

a címlapról

Hirdetés

Mi történik egy mobilappal a születése után?

2020. február 28. 07:32

Legtöbbször sajnos semmi. Ezen próbálunk változtatni egy ingyenes appmenedzsment meetuppal és egy 30 órás képzéssel. A store-ban való megjelenés az igazi munka kezdete: mérés, mérés, mérés, adat, felhasználói visszajelzések kezelése, ASO, monetizálás, marketing... és így tovább.