Titkosítatlanul tárolja a leveleket az androidos Outlook.com
Meglepő felfedezésre jutott az androidos Outlook.com alkalmazás visszafejtésével az Include Security. A Microsoft levelezőszolgáltatásának androidos kliense titkosítás nélkül tárolja a leveleket és a csatolt fájlokat is a készülékeken.
Banális hibát fedezett fel az androidos Outlook.com alkalmazásban az Include Security. A biztonsági cég tanulási célzattal fejtett vissza népszerű mobilos alkalmazásokat, és azt találta, egyes kommunikációs appok gyártói nem tesznek meg mindent annak érdekében, hogy a tárolt adatokat biztonságban tudják. A Microsoft online levelezőjének az Outlook.comnak a kliense is ezek közé tartozik.
A vállalat a vizsgálatai során azt találta, hogy az androidos Outlook.com kliens sem a leveleket, sem pedig a hozzájuk csatolt állományokat nem titkosítja és nem is védi. Ez a gyakorlatban annyit tesz, hogy a csatolt állományokhoz tetszőleges, READ_EXTERNAL_STORAGE joggal rendelkező alkalmazás hozzáfér a fájlrendszeren (Android 4.4 előtti verziókon). Az alkalmazásban ugyan beállítható egy PIN kód, ez azonban csak a grafikus felületet védi, a PIN nélkül nem indul el maga az alkalmazás, de a benne tárolt adatok hozzáférhetők maradnak és akár egy fájlkezelő szoftverből is böngészhetők, vagy egy másik alkalmazás számára elérhetők ha a telefon rootolt. Az Outlook.com a készüléken cache-elt levelek tárgyát és teljes törzsét "plain textben" tárolja.
Az Outlook.com alkalmazást nem a Microsoft fejlesztette, azt a cég megbízásából egy Seven Networks nevű vállalat készítette el. Az Include Security még tavaly megkereste a problémával a Microsoftot, azonban a redmondiak úgy vélték, az alkalmazás nem hibás, működése biztonsági szempontból nem aggályos. A vállalat szerint "a felhasználóknak nem szabad abból kiindulniuk, hogy az adataikat bármilyen alkalmazás vagy operációs rendszer alapértelmezésként titkosítja, hacsak nincs erre utaló közvetlen tájékoztatás".
Redmondban úgy vélik, aki aggódik az Outlook.comban tárolt adatokért, csak kapcsolja be a telefonján a háttértár titkosítását, ezzel megakadályozható, hogy egy alkalmazás felhasználói interakció nélkül hozzáférjen egy másik adataihoz. Az Include Security ehhez még annyit tesz hozzá, a még nagyobb védelem értekében érdemes az alkalmazásban átállítani a csatolmányok letöltési helyét, valamint kikapcsolni az USB debugging módot is a készüléken, ha az be volt kapcsolva korábban.
Az Include Security blogbejegyzése az Outlook.com működéséről itt olvasható el.