ビデオ: Delete Microsoft Outlook or Hotmail Account 2019 HD (十一月 2024)
Androidアプリを使用してOutlook.comからメールを読んだり送信したりすると、メールの添付ファイルが安全に保存されません。 Microsoftは、そもそも暗号化はアプリの責任ではないと主張しています。
Include Securityの研究者は、MicrosoftのOutlook.com用Androidクライアントをリバースエンジニアリングし、電子メールの添付ファイルがデバイスのSDカードに暗号化されずに保存されることを発見しました。 これらのファイルは、SDカードにアクセスできるアプリで読み取ることができます。 誰でもSDカードを別のデバイスに挿入して内容を読むことができます。
デジャヴの感覚ですか? 今月初め、Appleは、メールの添付ファイルがiOSデバイスで一貫して暗号化されていないと判明したことを批判しました。 iOSで添付ファイルが暗号化されていないという事実は、従業員がモバイルデバイスの仕事用データにアクセスしている企業や政府にとって危険を引き起こす可能性があります。 デバイスのパスコードが抑止力として機能したため、iOSの問題の影響は限定的でした。 ただし、この場合、アプリがファイルをSDカードに保存している場合、攻撃者を遠ざけるための障害はありません。
他の多くのアプリは、ファイルを最初に暗号化せずにSDカードに保存することに注意してください。 「理想的ではありませんが、これは確かにSDカードにデータを保存するほとんどのアプリの標準です」とviaForensicsのCEO兼共同設立者であるAndrew Hoog氏は述べています。 同社は過去にアプリ開発者に警告している、と彼は言った。
他のメッセージングアプリが同様の動作をすることを認めたセキュリティを含める。 Include SecurityのマネージングパートナーであるErik Cabetas氏は次のように述べています。
それはアプリの仕事ですか?
SecurityWatchでは、デバイスが紛失または盗難に遭った場合に備えて、データの内容を保護するためにパスコードまたはPINを有効にするよう読者に頻繁に通知します。 泥棒がSDカードを別のデバイスに挿入してメールデータを見ることができるという事実は、物理的なデバイスを保護することで攻撃者がデータにアクセスできないようにするという期待全体を無効にします。 ただし、質問は簡単です。データを暗号化するのはアプリの仕事ですか、それともユーザーの仕事ですか?
Soto氏によると、MicrosoftはInclude Securityに対し、「ユーザーは、その効果が明示的に約束されていない限り、アプリケーションやオペレーティングシステムでデフォルトでデータが暗号化されると想定してはならない」と述べました。
ソトは、ユーザーがアプリを開くために入力したPINがメッセージの機密性を保護することを想定するのは合理的であるため、逆の場合もあると述べました。 「少なくとも、アプリケーションベンダーはユーザーに警告し、アプリケーションが機密性を保証しないため、ファイルシステムを暗号化することを提案できます」とSoto氏は述べています。
「電子メールの暗号化を希望するお客様は、電話の設定を行ってSDカードのデータを暗号化できます」とMicrosoftの広報担当者はSecurityWatchに語った。
残念ながら、これは「よく見られる一般的な行動」であるように見えます。 プライベートデータがデバイスにローカルに保存されると、通常は攻撃者がアクセスできます。 問題は、アプリの開発者がセーフガードを実装していても、攻撃者が十分に固執したり固執したりしても、データを解読できるということです、とワトキンスは指摘します。
MicrosoftはSecurityWatchに対して、サンドボックス機能により、あるアプリのデータがAndroid上の他のアプリから不正にアクセスされることはないと述べました。 アプリがSDカードではなく、アプリのデータディレクトリに添付ファイルを保存する場合、これは当てはまります。 Hoogが指摘したように、これはスペースを取りすぎる可能性があるため、開発者は代わりにSDカードを使用します。
アプリは一時的に/ tmpディレクトリにファイルをダウンロードできるため、ユーザーは毎回ファイルをダウンロードする必要があります。 しかし、その決定には落とし穴があります。
誰が影響を受ける
ソフォスのセキュリティアドバイザーであるマキシムワインスタインは、ほとんどの消費者はプライバシーへの影響について無頓着ではないかもしれませんが、その影響は「比較的軽微」です。
最大の影響は、Outlook.comを使用し、電子メールで価値の高いデータを送信する組織です。 ただし、データが適切に保護されるように、モバイルデバイス管理ソフトウェアやその他のツールを既に使用している必要があります。
少なくとも、ユーザーがSDカードのデータを暗号化して、誰かが単にカードを盗んでファイルを読み取れないようにする必要があります。
[セキュリティを含める]には他の推奨事項がありました:[設定]-[開発者オプション]に移動して、AndroidデバイスでUSBデバッグをオフにします。 電子メールの添付ファイルのデフォルトのダウンロードディレクトリをSDカード(/ sdcard / external_sd)以外の場所に変更します。 これにより、デバイスが紛失または盗難にあった場合でも、データはデバイスのPINまたはパスコードの背後で保護され、公開されません。
信頼できるアプリストア以外のソースからのアプリの回避、モバイルセキュリティソフトウェアのインストール、デバイスのパスワード保護など、他のモバイルセキュリティ動作が適用されます。
「携帯電話を紛失しないようにしてください」とワトキンスは言いました。
