Video: Setting email di HP pakai aplikasi Microsoft Outlook (Oktober 2024)
Jika Anda menggunakan aplikasi Android untuk membaca dan mengirim email dari Outlook.com, lampiran email tidak disimpan dengan aman. Microsoft berpendapat bahwa mengenkripsi bukanlah tanggung jawab aplikasi sejak awal.
Peneliti di Include Security merekayasa balik klien Android Microsoft untuk Outlook.com dan menemukan bahwa lampiran email disimpan tanpa enkripsi pada kartu SD perangkat, tulis peneliti Paolo Soto di blog perusahaan minggu lalu. File-file ini dapat dibaca oleh aplikasi apa pun yang memiliki akses ke kartu SD. Siapa pun dapat memasukkan kartu SD ke perangkat lain dan membaca isinya.
Rasa déjà vu, ada orang? Awal bulan ini, Apple dikritik ketika ternyata lampiran surat tidak secara konsisten dienkripsi pada perangkat iOS. Fakta bahwa lampiran tidak dienkripsi di iOS dapat menimbulkan tanda bahaya bagi perusahaan dan pemerintah yang memiliki karyawan yang mengakses data kerja pada perangkat seluler. Masalah iOS memiliki dampak terbatas karena kode sandi perangkat berfungsi sebagai pencegah. Namun dalam kasus ini, jika aplikasi menyimpan file pada kartu SD, tidak ada penghalang untuk mencegah penyerang.
Perlu dicatat bahwa banyak aplikasi lain menyimpan file pada kartu SD tanpa mengenkripsi mereka terlebih dahulu. "Meskipun tidak ideal, ini tentu norma untuk sebagian besar aplikasi yang menyimpan data pada Kartu SD, " kata Andrew Hoog, CEO dan co-founder viaForensics. Perusahaan telah memperingatkan pengembang aplikasi di masa lalu, katanya.
Termasuk Keamanan yang diakui aplikasi pesan lain menunjukkan perilaku yang sama. "Kami ingin meningkatkan kesadaran pengguna tentang masalah yang lebih besar dari enkripsi sistem file ponsel menjadi kebutuhan untuk privasi data, " kata Erik Cabetas, managing partner di Include Security.
Apakah ini Pekerjaan Aplikasi?
Di SecurityWatch, kami sering mengingatkan pembaca untuk mengaktifkan kode sandi atau PIN untuk melindungi konten data mereka jika perangkat mereka hilang atau dicuri. Fakta bahwa seorang pencuri dapat memasukkan kartu SD ke perangkat yang berbeda dan melihat data email membatalkan seluruh harapan bahwa mengamankan perangkat fisik akan membuat penyerang keluar dari data kami. Namun, pertanyaannya sederhana: Apakah tugas aplikasi untuk mengenkripsi data, atau pengguna?
Menurut Soto, Microsoft mengatakan kepada Include Security bahwa "pengguna tidak boleh menganggap data dienkripsi secara default di aplikasi atau sistem operasi apa pun kecuali ada janji eksplisit untuk efek yang telah dibuat."
Soto mengatakan kebalikannya yang seharusnya, karena wajar bagi pengguna untuk menganggap PIN yang mereka masukkan untuk membuka aplikasi juga melindungi kerahasiaan pesan mereka. "Paling tidak, vendor aplikasi dapat memperingatkan pengguna dan menyarankan agar mereka mengenkripsi sistem file karena aplikasi tidak memberikan jaminan kerahasiaan, " kata Soto.
"Pelanggan yang ingin mengenkripsi email mereka dapat pergi melalui pengaturan telepon mereka dan mengenkripsi data kartu SD, " kata juru bicara Microsoft kepada SecurityWatch.
Sayangnya, ini tampaknya menjadi "perilaku umum yang sering kita lihat, " kata Kevin Watkins, kepala arsitek dan salah satu pendiri Appthority. Kapan saja data pribadi disimpan secara lokal di perangkat, umumnya dapat diakses oleh penyerang. Masalahnya adalah bahwa bahkan jika pengembang aplikasi menerapkan perlindungan, penyerang yang ditentukan atau cukup ulet masih dapat mendekripsi data, Watkins mencatat.
Microsoft mengatakan kepada SecurityWatch bahwa data dari satu aplikasi tidak dapat diakses secara ilegal oleh aplikasi lain di Android karena fitur sandbox. Itu benar jika aplikasi menyimpan lampiran di direktori data aplikasi dan bukan kartu SD. Seperti yang dicatat Hoog, itu bisa memakan terlalu banyak ruang, itulah sebabnya pengembang menggunakan kartu SD.
Aplikasi ini dapat mengunduh file sementara ke direktori / tmp, yang berarti pengguna harus mengunduh file setiap kali, kata Hoog. Namun keputusan itu memiliki jebakan tersendiri.
Siapa yang Terkena Dampak
Sebagian besar konsumen mungkin tidak liar tentang implikasi privasi, tetapi dampaknya pada mereka "relatif kecil, " kata Maxim Weinstein, penasihat keamanan di Sophos.
Implikasi terbesar adalah bagi organisasi yang menggunakan Outlook.com dan mengirim data bernilai tinggi melalui email. Namun, mereka seharusnya sudah menggunakan perangkat lunak manajemen perangkat seluler dan alat lain untuk memastikan data terlindungi dengan baik, kata Weinstein.
Paling tidak, pengguna harus sudah mengenkripsi data kartu SD sehingga seseorang tidak bisa hanya mencuri kartu dan membaca file.
Sertakan Keamanan memiliki rekomendasi lain: Matikan USB debugging pada perangkat Android dengan masuk ke Pengaturan-Opsi Pengembang. Ubah direktori unduhan default untuk lampiran email ke lokasi selain kartu SD (/ sdcard / external_sd). Dengan begitu, bahkan jika perangkat hilang atau dicuri, data dilindungi di belakang PIN atau kode sandi perangkat dan tidak terbuka.
Perilaku keamanan seluler lainnya berlaku, seperti menghindari aplikasi dari sumber selain toko aplikasi tepercaya, menginstal perangkat lunak keamanan seluler, dan melindungi perangkat dengan kata sandi.
"Cobalah untuk tidak kehilangan teleponmu, " kata Watkins.
