Vídeo: 📧 Como Configurar Contas de EMAIL Profissional no OUTLOOK e ANDROID? (Outubro 2024)
Se você usar o aplicativo Android para ler e enviar email do Outlook.com, os anexos de email não serão salvos com segurança. A Microsoft argumenta que a criptografia não é de responsabilidade do aplicativo.
Pesquisadores da Include Security fizeram a engenharia reversa do cliente Android da Microsoft para Outlook.com e descobriram que os anexos de email são armazenados sem criptografia no cartão SD do dispositivo, escreveu o pesquisador Paolo Soto no blog da empresa na semana passada. Esses arquivos podem ser lidos por qualquer aplicativo que tenha acesso ao cartão SD. Qualquer pessoa pode colocar o cartão SD em outro dispositivo e ler o conteúdo.
Uma sensação de déjà vu, alguém? No início deste mês, a Apple foi criticada quando descobriu que os anexos de email não estavam sendo criptografados de forma consistente nos dispositivos iOS. O fato de os anexos não serem criptografados no iOS pode gerar sinais de alerta para empresas e governos que têm funcionários acessando dados de trabalho em dispositivos móveis. O problema do iOS teve impacto limitado porque a senha do dispositivo funcionou como um impedimento. Nesse caso, no entanto, se o aplicativo estiver salvando os arquivos no cartão SD, não haverá bloqueio para manter os invasores afastados.
Vale a pena notar que muitos outros aplicativos armazenam arquivos no cartão SD sem criptografá-los primeiro. "Embora não seja o ideal, essa é certamente a norma para a maioria dos aplicativos que armazenam dados no cartão SD", disse Andrew Hoog, CEO e co-fundador da viaForensics. A empresa alertou os desenvolvedores de aplicativos no passado, disse ele.
Incluir segurança reconhecida outros aplicativos de mensagens exibem comportamento semelhante. "Queremos aumentar a conscientização do usuário quanto à questão maior da criptografia do sistema de arquivos do celular, sendo uma necessidade para a privacidade dos dados", disse Erik Cabetas, sócio-gerente da Include Security.
É o trabalho do aplicativo?
No SecurityWatch, lembramos frequentemente os leitores para habilitar uma senha ou um PIN para proteger o conteúdo de seus dados, caso seu dispositivo seja perdido ou roubado. O fato de um ladrão poder simplesmente colocar o cartão SD em um dispositivo diferente e ver os dados do correio anula toda a expectativa de que proteger o dispositivo físico manteria os invasores fora dos nossos dados. A questão, no entanto, é simples: o trabalho do aplicativo é criptografar os dados ou o usuário?
De acordo com Soto, a Microsoft disse à Include Security que "os usuários não devem assumir que os dados são criptografados por padrão em qualquer aplicativo ou sistema operacional, a menos que uma promessa explícita nesse sentido tenha sido feita".
Soto disse que o inverso deve ser o caso, uma vez que é razoável que os usuários assumam o PIN digitado para abrir o aplicativo também protege a confidencialidade de suas mensagens. "No mínimo, os fornecedores de aplicativos podem avisar um usuário e sugerir que criptografem o sistema de arquivos, pois o aplicativo não oferece garantia de confidencialidade", disse Soto.
"Os clientes que desejam criptografar seus e-mails podem acessar as configurações do telefone e criptografar os dados do cartão SD", disse um porta-voz da Microsoft à SecurityWatch.
Infelizmente, esse parece ser "um comportamento comum que vemos frequentemente", disse Kevin Watkins, arquiteto-chefe e co-fundador da Appthority. Sempre que os dados privados são armazenados localmente no dispositivo, geralmente são acessíveis por um invasor. O problema é que, mesmo que os desenvolvedores de aplicativos implementem salvaguardas, um invasor determinado ou tenaz o suficiente ainda pode descriptografar os dados, observou Watkins.
A Microsoft disse ao SecurityWatch que os dados de um aplicativo não podem ser acessados ilegalmente por outros aplicativos no Android por causa do recurso de sandbox. Isso ocorre se o aplicativo armazenar anexos no diretório de dados do aplicativo e não no cartão SD. Como Hoog observou, isso pode ocupar muito espaço, e é por isso que os desenvolvedores usam o cartão SD.
O aplicativo pode baixar temporariamente arquivos para o diretório / tmp, o que significa que os usuários precisam baixar o arquivo a cada vez, disse Hoog. Mas essa decisão tem suas próprias armadilhas.
Quem é afetado
A maioria dos consumidores pode não gostar das implicações de privacidade, mas o impacto sobre elas é "relativamente pequeno", disse Maxim Weinstein, consultor de segurança da Sophos.
As maiores implicações são para organizações que usam o Outlook.com e enviam dados de alto valor por email. No entanto, eles já deveriam estar usando software de gerenciamento de dispositivos móveis e outras ferramentas para garantir a proteção adequada dos dados, disse Weinstein.
No mínimo, os usuários já devem estar criptografando os dados do cartão SD para que alguém não possa simplesmente roubar o cartão e ler os arquivos.
Incluir segurança tinha outras recomendações: desative a depuração USB no dispositivo Android, vá para Configurações - Opções do desenvolvedor. Altere o diretório de download padrão dos anexos de email para um local diferente do cartão SD (/ sdcard / external_sd). Dessa forma, mesmo que o dispositivo seja perdido ou roubado, os dados são protegidos por trás do PIN ou da senha do dispositivo e não são expostos.
Outros comportamentos de segurança móvel se aplicam, como evitar aplicativos de outras fontes que não sejam lojas de aplicativos confiáveis, instalar software de segurança móvel e proteger o dispositivo com senha.
"Tente não perder o telefone", disse Watkins.
