비디오: Ali Gatie - It's You (Official Lyrics Video) (십월 2024)
Android 앱을 사용하여 Outlook.com에서 전자 메일을 읽고 보내면 전자 메일 첨부 파일이 안전하게 저장되지 않습니다. Microsoft는 암호화가 앱의 책임이 아니라고 주장합니다.
Include Security의 연구원은 Outlook.com 용 Microsoft Android 클라이언트를 리버스 엔지니어링했으며 전자 메일 첨부 파일이 장치의 SD 카드에 암호화되지 않은 상태로 저장되어 있음을 발견했습니다. Paolo Soto 연구원은 지난 주 회사 블로그에 썼습니다. 이 파일은 SD 카드에 액세스 할 수있는 모든 앱에서 읽을 수 있습니다. 누구나 SD 카드를 다른 장치에 넣고 내용을 읽을 수 있습니다.
데자뷰 감각이 있습니까? 이달 초 애플은 메일 첨부 파일이 iOS 기기에서 일관되게 암호화되지 않았다는 비판을 받았다. iOS에서 첨부 파일이 암호화되지 않았다는 사실은 직원이 모바일 장치에서 업무용 데이터에 액세스하는 회사 및 정부에 적신호를 일으킬 수 있습니다. 기기 비밀번호가 억제력으로 작동했기 때문에 iOS 문제는 제한적이었습니다. 그러나이 경우 앱이 SD 카드에 파일을 저장하는 경우 공격자를 멀리 할 수있는 장애물이 없습니다.
많은 다른 앱이 파일을 먼저 암호화하지 않고 SD 카드에 파일을 저장한다는 점은 주목할 가치가 있습니다. viaForensics의 CEO이자 공동 설립자 인 Andrew Hoog는“이상적이지는 않지만 SD 카드에 데이터를 저장하는 대부분의 앱에있어 이것이 표준이라고 할 수 있습니다. 이 회사는 과거에 앱 개발자들에게 경고했다.
보안이 인정 된 다른 메시징 앱도 유사한 동작을 나타냅니다. Include Security의 파트너 인 Erik Cabetas는“데이터 프라이버시를 위해 휴대 전화 파일 시스템 암호화의 큰 문제에 대한 사용자의 인식을 높이고 자합니다.
앱의 직업입니까?
SecurityWatch에서는 기기를 분실하거나 도난 당했을 경우 데이터 내용을 보호하기 위해 암호 또는 PIN을 사용하도록 독자에게 상기시킵니다. 도둑이 SD 카드를 다른 장치에 넣을 수 있고 메일 데이터를 볼 수 있다는 사실은 실제 장치를 보호하면 공격자가 우리 데이터에서 벗어날 수 있다는 모든 기대를 무효화합니다. 그러나 질문은 간단합니다. 데이터를 암호화하는 것이 앱의 일입니까, 아니면 사용자의 일입니까?
Soto에 따르면 Microsoft는 "보안에 대한 명시적인 약속이 없으면 사용자가 모든 응용 프로그램이나 운영 체제에서 기본적으로 데이터가 암호화되어 있다고 가정해서는 안된다"고 Include Security에 말했습니다.
Soto는 사용자가 입력 한 PIN을 사용하여 앱을 열 때 메시지의 기밀성을 보호하는 것이 합리적이기 때문에 그 반대가되어야한다고 말했다. "최소한도, 앱 벤더는 사용자에게 경고하고 애플리케이션이 기밀성을 보장하지 않기 때문에 파일 시스템을 암호화 할 것을 제안 할 수 있습니다"라고 Soto는 말했습니다.
마이크로 소프트 대변인은 "이메일을 암호화하고 싶은 고객은 전화 설정을 통해 SD 카드 데이터를 암호화 할 수있다"고 말했다.
불행히도, 이것은 "우리가 흔히 볼 수있는 일반적인 행동"인 것처럼 보인다고 Appthority의 공동 설계자이자 공동 창립자 인 Kevin Watkins는 말했다. 개인 데이터가 장치에 로컬로 저장 될 때마다 일반적으로 공격자가 액세스 할 수 있습니다. 문제는 앱 개발자가 보호 기능을 구현하더라도 충분히 결정된 사람이 데이터를 해독 할 수 있다는 것입니다.
Microsoft는 샌드 박스 기능으로 인해 Android의 다른 앱이 한 앱의 데이터에 불법적으로 액세스 할 수 없다고 SecurityWatch에 말했습니다. 앱이 SD 카드가 아닌 앱의 데이터 디렉토리에 첨부 파일을 저장하는 경우에도 마찬가지입니다. Hoog이 지적했듯이 공간이 너무 많이 차지할 수 있으므로 개발자가 대신 SD 카드를 사용합니다.
Hoog에 따르면이 앱은 파일을 / tmp 디렉토리에 임시로 다운로드 할 수 있으므로 사용자는 매번 파일을 다운로드해야합니다. 그러나 그 결정에는 고유 한 함정이 있습니다.
영향을받는 사람
소포스의 보안 자문 가인 맥심 와인 스타 인 (Maxim Weinstein)은 대부분의 소비자들이 프라이버시에 미치는 영향에 대해 열광하지는 않지만 그 영향은 "상대적으로 미미"하다고 말했다.
가장 큰 의미는 Outlook.com을 사용하고 전자 메일을 통해 중요한 데이터를 보내는 조직에 있습니다. 그러나 이들은 데이터를 올바르게 보호하기 위해 모바일 장치 관리 소프트웨어 및 기타 도구를 이미 사용하고 있다고 Weinstein은 말했다.
최소한 사용자는 이미 SD 카드 데이터를 암호화하여 누군가가 카드를 훔치고 파일을 읽을 수 없도록해야합니다.
보안 포함에 다른 권장 사항이 있습니다. 설정-개발자 옵션으로 이동하여 Android 장치에서 USB 디버깅을 끕니다. 이메일 첨부 파일의 기본 다운로드 디렉토리를 SD 카드 (/ sdcard / external_sd) 이외의 위치로 변경하십시오. 이렇게하면 장치를 분실하거나 도난당한 경우에도 데이터가 장치 PIN 또는 암호 뒤에 보호되어 노출되지 않습니다.
신뢰할 수있는 앱 스토어 이외의 소스로부터 앱을 피하고, 모바일 보안 소프트웨어를 설치하고, 장치를 비밀번호로 보호하는 등의 다른 모바일 보안 동작이 적용됩니다.
왓킨스는 "휴대 전화를 잃지 말아라"고 말했다.
