Vidéo: Satisfying Video l Kinetic Sand Nail Polish Foot Cutting ASMR #7 Rainbow ToyTocToc (Novembre 2024)
Si vous utilisez l'application Android pour lire et envoyer un courrier électronique à partir d'Outlook.com, les pièces jointes ne sont pas enregistrées de manière sécurisée. Microsoft affirme que le cryptage n'est pas la responsabilité de l'application en premier lieu.
Des chercheurs de Include Security ont procédé à une ingénierie inverse du client Android de Microsoft pour Outlook.com et ont découvert que les pièces jointes des e-mails étaient stockées non chiffrées sur la carte SD de l'appareil, a expliqué le chercheur Paolo Soto sur le blog de la société la semaine dernière. Ces fichiers peuvent être lus par n'importe quelle application ayant accès à la carte SD. N'importe qui peut insérer la carte SD dans un autre appareil et en lire le contenu.
Un sentiment de déjà vu, quelqu'un? Plus tôt ce mois-ci, Apple avait été critiqué lorsqu'il s'était avéré que les pièces jointes des messages n'étaient pas systématiquement chiffrées sur les appareils iOS. Le fait que les pièces jointes ne soient pas chiffrées sur iOS peut poser des problèmes aux entreprises et aux gouvernements dont les employés accèdent aux données professionnelles sur des appareils mobiles. Le problème iOS avait un impact limité car le code d'authentification de l'appareil était dissuasif. Dans ce cas, cependant, si l'application enregistre les fichiers sur la carte SD, il n'y a pas d'obstacle à éloigner les attaquants.
Il convient de noter que de nombreuses autres applications stockent des fichiers sur la carte SD sans les chiffrer au préalable. "Bien que cela ne soit pas idéal, c'est certainement la norme pour la plupart des applications qui stockent des données sur la carte SD", a déclaré Andrew Hoog, PDG et cofondateur de viaForensics. La société a alerté les développeurs d'applications par le passé, a-t-il déclaré.
Inclure la sécurité a reconnu que d'autres applications de messagerie présentent un comportement similaire. "Nous voulons sensibiliser davantage les utilisateurs au fait que le cryptage des systèmes de fichiers sur les téléphones mobiles est une nécessité pour la confidentialité des données", a déclaré Erik Cabetas, associé directeur chez Include Security.
Est-ce le travail de l'application?
Chez SecurityWatch, nous rappelons fréquemment aux lecteurs d'activer un code secret ou un code confidentiel afin de protéger le contenu de leurs données en cas de perte ou de vol de leur appareil. Le fait qu'un voleur puisse simplement insérer la carte SD dans un autre périphérique et voir les données de messagerie annule toute attente selon laquelle la sécurisation du périphérique physique empêcherait les attaquants d'accéder à nos données. La question, cependant, est simple: le travail de l'application consiste-t-il à chiffrer les données ou à l'utilisateur?
Selon Soto, Microsoft a déclaré à Include Security que "les utilisateurs ne devraient pas présumer que les données sont cryptées par défaut dans les applications ou les systèmes d'exploitation, à moins qu'une promesse explicite à cet effet ait été faite".
Soto a déclaré que l'inverse devrait être le cas, car il est raisonnable que les utilisateurs supposent que le code PIN qu'ils ont entré pour ouvrir l'application protège également la confidentialité de leurs messages. "À tout le moins, les fournisseurs d'applications peuvent avertir un utilisateur et lui suggérer de chiffrer le système de fichiers car l'application ne fournit aucune garantie de confidentialité", a déclaré Soto.
"Les clients qui souhaitent chiffrer leur courrier électronique peuvent consulter les paramètres de leur téléphone et chiffrer les données de la carte SD", a déclaré un porte-parole de Microsoft à SecurityWatch.
Malheureusement, cela semble être "un comportement commun que nous observons souvent", a déclaré Kevin Watkins, architecte en chef et cofondateur d'Appthority. Chaque fois que des données privées sont stockées localement sur le périphérique, elles sont généralement accessibles par un attaquant. Le problème est que, même si les développeurs d'applications appliquent des mesures de protection, un attaquant déterminé ou assez persévérant peut toujours déchiffrer les données, a noté Watkins.
Microsoft a déclaré à SecurityWatch que les données d'une application ne pouvaient pas être consultées illégalement par d'autres applications sur Android en raison de la fonctionnalité de bac à sable. Cela est vrai si l'application stocke les pièces jointes dans le répertoire de données de l'application et non dans la carte SD. Comme Hoog l'a noté, cela peut prendre trop de place, c'est pourquoi les développeurs utilisent la carte SD.
L'application peut télécharger temporairement des fichiers dans le répertoire / tmp, ce qui impliquerait que les utilisateurs doivent télécharger le fichier à chaque fois, a déclaré Hoog. Mais cette décision a ses propres pièges.
Qui est affecté
La plupart des consommateurs ne craignent peut-être pas les implications en termes de protection de la vie privée, mais l'impact sur eux est "relativement mineur", a déclaré Maxim Weinstein, conseiller en sécurité chez Sophos.
Les principales implications concernent les organisations qui utilisent Outlook.com et envoient des données de grande valeur par courrier électronique. Cependant, ils devraient déjà utiliser un logiciel de gestion des appareils mobiles et d'autres outils pour garantir la protection des données, a déclaré Weinstein.
À tout le moins, les utilisateurs devraient déjà chiffrer les données de la carte SD afin que quelqu'un ne puisse pas simplement voler la carte et lire les fichiers.
Include Security avait d'autres recommandations: Désactivez le débogage USB sur le périphérique Android en accédant à Paramètres - Options pour les développeurs. Modifiez le répertoire de téléchargement par défaut pour les pièces jointes à un emplacement autre que la carte SD (/ sdcard / external_sd). Ainsi, même en cas de perte ou de vol du périphérique, les données sont protégées derrière le code PIN ou le code secret du périphérique et ne sont pas exposées.
D'autres comportements de sécurité mobile s'appliquent, tels que l'évitement d'applications provenant de sources autres que des magasins d'applications approuvés, l'installation d'un logiciel de sécurité mobile et la protection du périphérique par mot de passe.
"Essayez de ne pas perdre votre téléphone", a déclaré Watkins.
