Passa ai contenuti principali

La App di Outlook per dispositivi Android salva le email non crittografate



Se si dispone di un account con il popolare servizio email gratuito di Microsoft, Outlook.com , e utilizzate L'app di Outlook per Android, c'è una brutta notizia per voi .

La app di Android, fornisce agli utenti la possibilità di accedere ai propri messaggi di posta elettronica di Outlook sui ​​propri dispositivi Android ma non riesce a garantire la sicurezza e la crittografia dei dati.



Falle scoperte

I ricercatori di  'Include Security' sostengono di aver trovato diverse vulnerabilità nell'applicazione di Microsoft Outlook per Android, che lascia i dati di posta elettronica degli utenti vulnerabili agli hacker e altre applicazioni malware di terze parti .

Per impostazione predefinita , gli allegati di posta elettronica vengono memorizzati in cartelle facilmente accessibili sul filesystem di Android
Email Database ( corpo , soggetto ) viene memorizzato localmente in modo non criptato
La funzione di ' Pin Code ' App non protegge o crittografa i dati di posta elettronica .
Gli allegati e-mail sono accessibili a chiunque, anche ad ALTRE APPLICAZIONI!



Oggi quasi ogni applicazioni disponibile in Google Play Store generalmente chiedendo il permesso READ_EXTERNAL_STORAGE che permette loro di leggere i dati dalla memoria del dispositivo.

" READ_EXTERNAL_STORAGE e il permesso di collegarsi a internet sono alcune delle autorizzazioni più comuni concesse dagli utenti alle applicazioni in fase di installazione ."
Questo è ciò che ha detto Erik Cabetas , amministratore delegato di  'Include Security'.

Include Security ha scoperto che l'applicazione Outlook per Android scarica gli allegati di posta elettronica automaticamente nella cartella '/sdcard/attachments' nel file system , che potrebbe essere accessibile da qualsiasi applicazione dannosa o da una persona con l' accesso fisico al dispositivo . " I cellulari oggi sono dotati di applicazioni preinstallate che potrebbe leggere quelle e-mail . " ha aggiunto.


Non crittografato EMAIL DATABASE
App Outlook mantiene un database di backup locale dei messaggi di posta elettronica sul file system in "/ data/data/com.outlook.Z7 / "  Android Debug Bridge ( adb ) è lo strumento in grado di estrarlo .

"Abbiamo trovato che molte applicazioni di messaggistica (email archiviate o applicazioni IM / chat room ) memorizzano i loro messaggi in un modo da rendere più facile  l'accesso ai messaggi per le applicazioni canaglia o di terze parti con l'accesso fisico al dispositivo mobile. ", Ha ha detto .
In questa cartella c'è un file di database chiamato ' email.db ' , che mantiene una copia di backup di ogni vostra email , ma in una forma non crittografata cioè una volta che un utente malintenzionato è in grado di prendere questo file , si può accedere a tutte le vostre email e ai dati sensibili in formato testo utilizzando una utility per sqlite3 .


Come mostrato nell'immagine qui sopra , sono in grado di accedere al file email.db e quindi al database non crittografato per leggere il contenuto delle email, il file risultante che viene visualizzato come di seguito :



In precedenza abbiamo segnalato malware che sono in grado di hackerare i dispositivi Android connettessi ad esso e sono in grado di estrarre qualsiasi file dal file system di Android , anche se il dispositivo non è sbloccato.


Il PINCODE non può proteggere

Microsoft ha implementato un meccanismo di protezione unico nel suo app Outlook che nessun altro offre , è la sua caratteristica PINCODE ( con blocco dell'applicazione ) , che intenti ad aggiungere una protezione supplementare nel caso in cui il dispositivo si mette in mani sbagliate .


Ma purtroppo questa funzione non protegge i dati degli utenti da quei due difetti sopra elencati , perché si blocca solo l'interfaccia grafica delle app , e non fa nulla per garantire la riservatezza dei messaggi e allegati , che sono a loro volta memorizzati sul filesystem del dispositivo mobile .

" Se un dispositivo viene rubato o compromesso , una terza parte può tentare di ottenere l'accesso ai messaggi memorizzati nella cache locale ( in questo caso i messaggi di posta elettronica e allegati ) ", ha dichiarato Erik Cabetas , amministratore delegato di Include Security nel post del blog .
La Microsoft si rifiuta di creare una patch

I ricercatori hanno contattato Security Response Center di Microsoft nel dicembre 2013 per la debolezza della sicurezza nell'app di Outlook , ma Microsoft si rifiuta di rattoppare le vulnerabilità e la loro risposta è stata: " ... gli utenti non dovrebbero avere i dati crittografati per impostazione predefinita in qualsiasi applicazione o sistema operativo, ma solo per esplicita richiesta " , ha detto Microsoft .


Erik suggerisce che Outlook per Android potrebbe usare SQLcipher per crittografare il database SQLite , perché questo sarebbe utile per i vecchi dispositivi che non supportano la crittografia completa del disco .


SORVEGLIANZA COMPATIBILE
In risposta alla sorveglianza di massa condotto dall'Agenzia statunitense per la Sicurezza Nazionale ( NSA) , dove ogni servizio è il passaggio verso la distribuzione di crittografia attraverso Internet , uno di grande gigante di Internet , Microsoft non è riuscita .


Oggi sentiamo il bisogno di reti altamente garantite e dispositivi criptati per salvaguardare la nostra privacy da cyber criminali e il nostro governo ne ha bisogno pure. Quindi , la crittografia diventa più importante oggi rispetto a qualsiasi altro momento della nostra storia . La crittografia dei nostri messaggi on-line , la crittografia dei nostri messaggi di posta elettronica , la crittografia delle nostre chiamate vocali , la crittografia di ogni nostro dato personale.


Gli utenti Android sono altamente raccomandati di utilizzare la crittografia completa del disco per Android e del file system della scheda SD , e disattivare la modalità Debug USB da Opzioni Developer.


Ieri , in una notizia a parte abbiamo riportato su una vulnerabilità critica zero-day (CVE-2014 - 1770) in ' Internet Explorer 8' che Microsoft aveva tenuto nascosto da tutti noi , da ottobre 2013.


UPDATE

"Microsoft si impegna a proteggere la sicurezza dei vostri dati personali . Usiamo una vasta gamma di tecnologie e procedure di sicurezza per proteggere i tuoi dati personali da accesso, uso o divulgazione non autorizzata. Per le persone che utilizzano l'app Outlook.com per Android, le applicazioni vengono eseguite nella sandbox in cui il sistema operativo protegge i dati dei clienti . Inoltre, i clienti che desiderano cifrare la propria posta elettronica può passare attraverso le impostazioni del telefono e crittografare i dati della scheda SD. prega di consultare sulla privacy online di Microsoft per ulteriori informazioni " . Microsoft ha detto in una dichiarazione al The Hacker News.


fonte
Etichette:

Commenti

Posta un commento

Post popolari in questo blog

Snow Leopard su PC

P er cominciare Buon Natale e Felice Anno nuovo dallo staff di Hackheads! Mantenendo le premesse scritte qui e qui , proseguo nel post. Questo nuovo post lo volevo dedicare a tutti quelli che non hanno nessuna volgia di installarsi il 10.5 sul proprio pc per poi seguire gli aggiornamenti al 10.6.2 e installarselo direttamente! Come prima cosa scaricare il relativo torrent che trovate su un qualsiasi motore torrent cercando Hazard 10.6.2 ! Si tratta della nuova distro universale (sia AMD che Intel) di Hazard! Vediamo che componenti contiene già integrati nel dvd: Driver: AHCIPortInjector AppleACPIPS2Nub AppleATIATA AppleIntelGMA950 Fixed AppleIntelGMAX3100FB Fixed AppleIntelIntegratedFramebuffer Fixed AppleIntelPIIXATA AppleNForceATA ApplePS2Controller AppleVIAATA ATAPortInjector AttansicL1eEthernet Disabler EvOreboot Fakesmc Intel82566MM IOAHCIBlockStorageInjector IOATAFamily Fixed IOPCIFamily Fixed JMicronATA Fixed LegacyJMB36xSATA nForceLAN NullCPUPowerMa...
108 commenti
Continua a leggere

JP Morgan consentirà ai suoi clienti di investire in Bitcoin!

JP Morgan consentirà ai suoi clienti di investire in Bitcoin Fund per la prima volta! Il fondo bitcoin potrebbe essere lanciato quest'estate, dicono fonti di CoinDesk. NYDIG sarà il fornitore di custodia del fondo. Il fondo JPMorgan sarà per i clienti privati ha detto CoinDesk La decisione di JP Morgan di iniziare a offrire fondi Bitcoin al suo cliente privato segna un cerchio completo per il gigante bancario, dato che è stata tra le prime istituzioni a liquidare BTC come una bolla definendolo un asset speculativo. Anche all'inizio di quest'anno, la banca aveva respinto l'idea di offrire un fondo di tracciamento Bitcoin suggerendo che la domanda non era abbastanza grande da consentire loro di introdurre un tale prodotto. JP Morgan si unisce alla lunga lista di negazionisti di Bitcoin che offrono prodotti Bitcoin L'amministratore delegato di JPMorgan Nikolaos Panigirtzoglo ha anche affermato che un Bitcoin addomesticato avrebbe maggiori possibilità di capitalizzare...
Posta un commento
Continua a leggere

Trading di criptovaluta: cinque strategie facili per principianti

Come primissima cosa bisogna aprire un account su una piattaforma di trading e fornirla di liquidità. Quella che vi consiglio è Binance . La procedura è questa: Passaggio 1: vai alla pagina di registrazione di Binance Per prima cosa fai clic sul collegamento per andare alla pagina di registrazione di Binance: -->  Registrati su Binance Passaggio 2: compila il modulo di registrazione di Binance Compila il modulo inserendo la tua email e la password. La password deve contenere almeno 8 caratteri con lettere maiuscole e numeri. Dopodiché, seleziona la casella per accettare i termini di utilizzo di Binance e fai clic sul pulsante "crea account". Passaggio 3: verifica il tuo indirizzo email Controlla il tuo indirizzo email per il codice di conferma. Dopo aver inserito il codice di verifica, il tuo indirizzo email sarà confermato e potrai iniziare a utilizzare il tuo account Binance. Passaggio 4: abilita 2FA sul tuo account Binance Fai clic su Google Verification per abilitare ...
Posta un commento
Continua a leggere

Disclaimer

LE PAGINE DI QUESTO SITO NON COSTITUISCONO SERVIZIO DI CONSULENZA FINANZIARIA NÉ SOLLECITAZIONE AL PUBBLICO RISPARMIO. POICHÉ LE INDICAZIONI RIPORTATE VENGONO FORNITE COME SEMPLICI SPUNTI DI RIFLESSIONE, SI DECLINA QUALSIASI TIPO DI RESPONSABILITÀ.
Si declina qualsiasi forma di responsabilità sull’affidabilità e la precisione di pubblicità, informazioni, Prodotti e dati distribuiti, contenuti o proposti sotto forma di links offerti sul sito.
L’utilizzo dei dati e delle informazioni come supporto di scelte di operazioni di investimento è a completo rischio dell’utente.
Esiste un grado di rischio molto elevato nei prodotti finanziari citati. I risultati passati non sono indicativi di rendimenti futuri. hackheads e tutti gli individui affiliati a questo sito non si assumono alcuna responsabilità per i tuoi risultati di trading e investimento. Gli indicatori, le strategie, gli articoli e tutte le altre caratteristiche sono solo a scopo didattico e non devono essere interpretati come consigli di investimento. Le informazioni per l'osservazione delle informazioni sono ottenute da fonti ritenute affidabili, ma non ne garantiamo la completezza o l'accuratezza, né garantiamo alcun risultato dall'uso delle informazioni. Il tuo utilizzo delle informazioni è interamente a tuo rischio ed è tua esclusiva responsabilità valutare l'accuratezza, la completezza e l'utilità. È necessario valutare il rischio di qualsiasi negoziazione e prendere le proprie decisioni indipendenti in merito a qualsiasi situazione qui menzionata.