La App di Outlook per dispositivi Android salva le email non crittografate



Se si dispone di un account con il popolare servizio email gratuito di Microsoft, Outlook.com , e utilizzate L'app di Outlook per Android, c'è una brutta notizia per voi .

La app di Android, fornisce agli utenti la possibilità di accedere ai propri messaggi di posta elettronica di Outlook sui ​​propri dispositivi Android ma non riesce a garantire la sicurezza e la crittografia dei dati.



Falle scoperte

I ricercatori di  'Include Security' sostengono di aver trovato diverse vulnerabilità nell'applicazione di Microsoft Outlook per Android, che lascia i dati di posta elettronica degli utenti vulnerabili agli hacker e altre applicazioni malware di terze parti .

Per impostazione predefinita , gli allegati di posta elettronica vengono memorizzati in cartelle facilmente accessibili sul filesystem di Android
Email Database ( corpo , soggetto ) viene memorizzato localmente in modo non criptato
La funzione di ' Pin Code ' App non protegge o crittografa i dati di posta elettronica .
Gli allegati e-mail sono accessibili a chiunque, anche ad ALTRE APPLICAZIONI!



Oggi quasi ogni applicazioni disponibile in Google Play Store generalmente chiedendo il permesso READ_EXTERNAL_STORAGE che permette loro di leggere i dati dalla memoria del dispositivo.

" READ_EXTERNAL_STORAGE e il permesso di collegarsi a internet sono alcune delle autorizzazioni più comuni concesse dagli utenti alle applicazioni in fase di installazione ."
Questo è ciò che ha detto Erik Cabetas , amministratore delegato di  'Include Security'.

Include Security ha scoperto che l'applicazione Outlook per Android scarica gli allegati di posta elettronica automaticamente nella cartella '/sdcard/attachments' nel file system , che potrebbe essere accessibile da qualsiasi applicazione dannosa o da una persona con l' accesso fisico al dispositivo . " I cellulari oggi sono dotati di applicazioni preinstallate che potrebbe leggere quelle e-mail . " ha aggiunto.


Non crittografato EMAIL DATABASE
App Outlook mantiene un database di backup locale dei messaggi di posta elettronica sul file system in "/ data/data/com.outlook.Z7 / "  Android Debug Bridge ( adb ) è lo strumento in grado di estrarlo .

"Abbiamo trovato che molte applicazioni di messaggistica (email archiviate o applicazioni IM / chat room ) memorizzano i loro messaggi in un modo da rendere più facile  l'accesso ai messaggi per le applicazioni canaglia o di terze parti con l'accesso fisico al dispositivo mobile. ", Ha ha detto .
In questa cartella c'è un file di database chiamato ' email.db ' , che mantiene una copia di backup di ogni vostra email , ma in una forma non crittografata cioè una volta che un utente malintenzionato è in grado di prendere questo file , si può accedere a tutte le vostre email e ai dati sensibili in formato testo utilizzando una utility per sqlite3 .


Come mostrato nell'immagine qui sopra , sono in grado di accedere al file email.db e quindi al database non crittografato per leggere il contenuto delle email, il file risultante che viene visualizzato come di seguito :



In precedenza abbiamo segnalato malware che sono in grado di hackerare i dispositivi Android connettessi ad esso e sono in grado di estrarre qualsiasi file dal file system di Android , anche se il dispositivo non è sbloccato.


Il PINCODE non può proteggere

Microsoft ha implementato un meccanismo di protezione unico nel suo app Outlook che nessun altro offre , è la sua caratteristica PINCODE ( con blocco dell'applicazione ) , che intenti ad aggiungere una protezione supplementare nel caso in cui il dispositivo si mette in mani sbagliate .


Ma purtroppo questa funzione non protegge i dati degli utenti da quei due difetti sopra elencati , perché si blocca solo l'interfaccia grafica delle app , e non fa nulla per garantire la riservatezza dei messaggi e allegati , che sono a loro volta memorizzati sul filesystem del dispositivo mobile .

" Se un dispositivo viene rubato o compromesso , una terza parte può tentare di ottenere l'accesso ai messaggi memorizzati nella cache locale ( in questo caso i messaggi di posta elettronica e allegati ) ", ha dichiarato Erik Cabetas , amministratore delegato di Include Security nel post del blog .
La Microsoft si rifiuta di creare una patch

I ricercatori hanno contattato Security Response Center di Microsoft nel dicembre 2013 per la debolezza della sicurezza nell'app di Outlook , ma Microsoft si rifiuta di rattoppare le vulnerabilità e la loro risposta è stata: " ... gli utenti non dovrebbero avere i dati crittografati per impostazione predefinita in qualsiasi applicazione o sistema operativo, ma solo per esplicita richiesta " , ha detto Microsoft .


Erik suggerisce che Outlook per Android potrebbe usare SQLcipher per crittografare il database SQLite , perché questo sarebbe utile per i vecchi dispositivi che non supportano la crittografia completa del disco .


SORVEGLIANZA COMPATIBILE
In risposta alla sorveglianza di massa condotto dall'Agenzia statunitense per la Sicurezza Nazionale ( NSA) , dove ogni servizio è il passaggio verso la distribuzione di crittografia attraverso Internet , uno di grande gigante di Internet , Microsoft non è riuscita .


Oggi sentiamo il bisogno di reti altamente garantite e dispositivi criptati per salvaguardare la nostra privacy da cyber criminali e il nostro governo ne ha bisogno pure. Quindi , la crittografia diventa più importante oggi rispetto a qualsiasi altro momento della nostra storia . La crittografia dei nostri messaggi on-line , la crittografia dei nostri messaggi di posta elettronica , la crittografia delle nostre chiamate vocali , la crittografia di ogni nostro dato personale.


Gli utenti Android sono altamente raccomandati di utilizzare la crittografia completa del disco per Android e del file system della scheda SD , e disattivare la modalità Debug USB da Opzioni Developer.


Ieri , in una notizia a parte abbiamo riportato su una vulnerabilità critica zero-day (CVE-2014 - 1770) in ' Internet Explorer 8' che Microsoft aveva tenuto nascosto da tutti noi , da ottobre 2013.


UPDATE

"Microsoft si impegna a proteggere la sicurezza dei vostri dati personali . Usiamo una vasta gamma di tecnologie e procedure di sicurezza per proteggere i tuoi dati personali da accesso, uso o divulgazione non autorizzata. Per le persone che utilizzano l'app Outlook.com per Android, le applicazioni vengono eseguite nella sandbox in cui il sistema operativo protegge i dati dei clienti . Inoltre, i clienti che desiderano cifrare la propria posta elettronica può passare attraverso le impostazioni del telefono e crittografare i dati della scheda SD. prega di consultare sulla privacy online di Microsoft per ulteriori informazioni " . Microsoft ha detto in una dichiarazione al The Hacker News.


fonte