视频: Delete Microsoft Outlook or Hotmail Account 2019 HD (十一月 2024)
如果您使用Android应用程序从Outlook.com阅读和发送电子邮件,则电子邮件附件不会被安全保存。 微软认为,加密并不是应用程序的责任。
研究人员Paolo Soto上周在公司博客上写道,Include Security的研究人员对Outlook.com的Microsoft Android客户端进行了反向工程,发现电子邮件附件未加密存储在设备的SD卡上。 可以访问SD卡的任何应用都可以读取这些文件。 任何人都可以将SD卡弹出另一台设备并读取内容。
有一种似曾相识的感觉,有人吗? 本月早些时候,苹果公司发现邮件附件在iOS设备上没有得到一致的加密,因此遭到了批评。 附件在iOS上未加密的事实可能会使公司和政府的员工在移动设备上访问工作数据时产生危险信号。 iOS问题的影响有限,因为设备密码起到了威慑作用。 但是,在这种情况下,如果应用程序将文件保存在SD卡上,则没有障碍可以使攻击者远离。
值得注意的是,许多其他应用程序都将文件存储在SD卡上,而无需先对其进行加密。 viaForensics首席执行官兼联合创始人安德鲁·霍格(Andrew Hoog)表示:“虽然不理想,但这无疑是大多数将数据存储在SD卡上的应用程序的规范。” 他说,该公司过去曾警告过应用程序开发人员。
包括安全性,其他消息传递应用程序也表现出类似的行为。 Include Security的管理合伙人埃里克·卡贝塔斯(Erik Cabetas)说:“我们希望提高用户对更大范围的移动电话文件系统加密问题的认识,这是保护数据隐私的必要条件。
它是应用程序的工作吗?
在SecurityWatch,我们经常提醒读者启用密码或PIN码以保护其数据内容,以防设备丢失或被盗。 小偷可以将SD卡弹出另一台设备并查看邮件数据,这一事实使人们完全没想到保护物理设备将使攻击者无法进入我们的数据。 但是,问题很简单:加密数据是应用程序的工作,还是用户的工作?
根据Soto的说法,Microsoft告诉Include Security,“除非明确做出保证,否则用户不应假定默认情况下在任何应用程序或操作系统中数据都是加密的。”
索托说,情况应该相反,因为用户可以合理地假设他们输入的PIN码打开应用程序也可以保护其消息的机密性。 “至少,应用程序供应商可以警告用户,并建议他们加密文件系统,因为该应用程序不能保证机密性,”索托说。
微软发言人告诉SecurityWatch说:“希望对电子邮件进行加密的客户可以通过电话设置并对SD卡数据进行加密。”
不幸的是,这似乎是“我们经常看到的常见行为,” Appthority的首席架构师和联合创始人Kevin Watkins说。 每当私人数据本地存储在设备上时,攻击者通常就可以访问它们。 问题在于,即使应用程序开发人员实施了安全保护措施,坚决或足够顽强的攻击者仍然可以解密数据,Watkins指出。
微软告诉SecurityWatch,由于沙盒功能,Android上的其他应用程序不能非法访问一个应用程序中的数据。 如果应用程序将附件存储在应用程序的数据目录中而不是SD卡中,则为true。 正如Hoog指出的那样,这可能会占用太多空间,这就是开发人员改用SD卡的原因。
Hoog说,该应用程序可以将文件临时下载到/ tmp目录,这意味着用户每次都必须下载文件。 但是这个决定有其陷阱。
谁受到影响
Sophos的安全顾问Maxim Weinstein表示,大多数消费者可能对隐私隐含的想法并不了解,但是对他们的影响“相对较小”。
对于使用Outlook.com并通过电子邮件发送高价值数据的组织而言,最大的影响是。 不过,温斯坦说,他们应该已经在使用移动设备管理软件和其他工具来确保数据受到适当的保护。
至少,用户应该已经在对SD卡数据进行加密,以使某人不能只是偷卡并读取文件。
包括安全性还有其他建议:转到“设置-开发人员选项”,关闭Android设备上的USB调试。 将电子邮件附件的默认下载目录更改为SD卡(/ sdcard / external_sd)以外的位置。 这样,即使设备丢失或被盗,数据也会在设备PIN或密码后面得到保护,并且不会被泄露。
还会应用其他移动安全行为,例如,避免从受信任的应用商店以外的来源访问应用,安装移动安全软件以及使用密码保护设备。
沃特金斯说:“尽量不要丢失手机。”
