Android端使用Outlook 泄密不设防

安全公司Include Security指出,Outlook.com for Android移动应用的两项特性可能导致用户数据外泄,一是将数据储存于SD记忆卡的文件系统上,另一项是Pincode设计让人误以为数据有加密。

Include Security安全研究人员Paolo Soto指出,Outlook.com for Android的设计是将数据储存在装置的SD卡上,这使得任何具有EAD_EXTERNAL_STORAGE访问权限的应用程序都得以存取到卡上的数据,即使装置本身没有被取得root权限。他表示,第三方应用只要使用ADB shell指令就可以找到/sdcard/attachments路径下的附文件内容。

移动安全

安全人员指出,Android 4.4之后的版本在SD卡上增加私密数据匣,但之前版本的用户就有数据外泄的可能性。

另一个问题是Outlook.com for Android应用有8码Pincode密码的设计,旨在防止从手机屏幕接口开启Outlook.com客户端。这项功能默认为不启动,经使用者手动启动后宣称”可保护您的电子邮件”。

Include Security指出,这让使用者误以为邮件内容已获得加密,其实不然,”密码”并非防护数据本身。有心人士还是可以透过ADB指令,像是USB除错存取到SD卡的文件系统,因此如果手机启用了USB除错功能,数据就可能因此被外人看到。

安全专家建议用户到”设定”->“开发者选项”->找到”USB除错”并关闭,而且建议用户使用硬件加密,或是采用装置及SD卡文件系统的全磁盘加密防护,以防第三方应用存取到隐私或机密数据。

另外,为防邮件附档透过SD卡外泄,Include Security也建议使用者到”设定”->“一般”->“附文件设定”->“附文件数据匣”路径修改邮件附文件的下载目录,不要把附文件数据储存在抽取式的SD卡上。

微软则对媒体表示,微软已采用多种技术及程序来保护用户数据,例如Android 版Outlook.com 应用是以沙盒方式执行,和数据是分开的。此外,使用者也可以透过手机设定加密SD卡。日前也有研究人员指出iOS存在漏洞,有心者取得iPhone及iPad等装置之后可绕过密码保护直接存取邮件中的附加档案。

移动信息化交流QQ群:一号群:211029692 二号群:344692795 CIO交流群:316076815(需认证)

移动化问答社区:wenda.yidonghua.com



1 星2 星3 星4 星5 星 (还没有打分,快来打分吧!)
Loading...
 
已有 0 条评论
返回顶部

无觅相关文章插件,快速提升流量