Video: solucion error de conexion outlook en android (Noviembre 2024)
Si usa la aplicación de Android para leer y enviar correos electrónicos desde Outlook.com, los archivos adjuntos no se guardan de forma segura. Microsoft argumenta que el cifrado no es responsabilidad de la aplicación en primer lugar.
Investigadores de Include Security diseñaron el cliente de Android de Microsoft para Outlook.com y descubrieron que los archivos adjuntos de correo electrónico se almacenan sin cifrar en la tarjeta SD del dispositivo, escribió el investigador Paolo Soto en el blog de la compañía la semana pasada. Cualquier aplicación que tenga acceso a la tarjeta SD puede leer estos archivos. Cualquiera puede introducir la tarjeta SD en otro dispositivo y leer el contenido.
Una sensación de déjà vu, ¿alguien? A principios de este mes, Apple fue criticada cuando resultó que los archivos adjuntos de correo no se encriptaban constantemente en los dispositivos iOS. El hecho de que los archivos adjuntos no estén encriptados en iOS puede generar señales de alerta para las corporaciones y los gobiernos que tienen empleados que acceden a datos de trabajo en dispositivos móviles. El problema de iOS tuvo un impacto limitado porque el código de acceso del dispositivo funcionó como elemento disuasorio. Sin embargo, en este caso, si la aplicación está guardando los archivos en la tarjeta SD, no hay obstáculos para mantener alejados a los atacantes.
Vale la pena señalar que muchas otras aplicaciones almacenan archivos en la tarjeta SD sin cifrarlos primero. "Aunque no es lo ideal, esta es la norma para la mayoría de las aplicaciones que almacenan datos en la tarjeta SD", dijo Andrew Hoog, CEO y cofundador de viaForensics. La compañía ha alertado a los desarrolladores de aplicaciones en el pasado, dijo.
Incluir seguridad reconoció que otras aplicaciones de mensajería exhiben un comportamiento similar. "Queremos aumentar la conciencia del usuario sobre el gran problema de que el cifrado del sistema de archivos del teléfono móvil es una necesidad para la privacidad de los datos", dijo Erik Cabetas, socio gerente de Include Security.
¿Es el trabajo de la aplicación?
En SecurityWatch, con frecuencia recordamos a los lectores que habiliten un código de acceso o un PIN para proteger el contenido de sus datos en caso de que su dispositivo se pierda o sea robado. El hecho de que un ladrón pueda simplemente introducir la tarjeta SD en un dispositivo diferente y ver los datos del correo anula toda la expectativa de que proteger el dispositivo físico mantendría a los atacantes fuera de nuestros datos. La pregunta, sin embargo, es simple: ¿es el trabajo de la aplicación encriptar los datos o el usuario?
Según Soto, Microsoft le dijo a Include Security que "los usuarios no deben asumir que los datos están encriptados de manera predeterminada en ninguna aplicación o sistema operativo a menos que se haya hecho una promesa explícita al respecto".
Soto dijo que lo contrario debería ser el caso, ya que es razonable que los usuarios asuman que el PIN que ingresan para abrir la aplicación también protege la confidencialidad de sus mensajes. "Como mínimo, los proveedores de aplicaciones pueden advertir a un usuario y sugerir que cifren el sistema de archivos ya que la aplicación no garantiza la confidencialidad", dijo Soto.
"Los clientes que desean cifrar su correo electrónico pueden revisar la configuración de su teléfono y cifrar los datos de la tarjeta SD", dijo un portavoz de Microsoft a SecurityWatch.
Desafortunadamente, esto parece ser "un comportamiento común que vemos a menudo", dijo Kevin Watkins, arquitecto jefe y cofundador de Appthority. Cada vez que los datos privados se almacenan localmente en el dispositivo, generalmente un atacante puede acceder a ellos. El problema es que incluso si los desarrolladores de aplicaciones implementan salvaguardas, un atacante que sea determinado o lo suficientemente tenaz aún puede descifrar los datos, anotó Watkins.
Microsoft le dijo a SecurityWatch que otras aplicaciones en Android no pueden acceder ilegalmente a los datos de una aplicación debido a la función sandbox. Eso es cierto si la aplicación almacena archivos adjuntos en el directorio de datos de la aplicación y no en la tarjeta SD. Como señaló Hoog, eso puede ocupar demasiado espacio, por lo que los desarrolladores usan la tarjeta SD.
La aplicación puede descargar temporalmente archivos al directorio / tmp, lo que significaría que los usuarios tienen que descargar el archivo cada vez, dijo Hoog. Pero esa decisión tiene sus propias trampas.
Quien es afectado
La mayoría de los consumidores pueden no estar locos por las implicaciones de privacidad, pero el impacto en ellos es "relativamente menor", dijo Maxim Weinstein, asesor de seguridad de Sophos.
Las mayores implicaciones son para las organizaciones que usan Outlook.com y envían datos de alto valor por correo electrónico. Sin embargo, ya deberían estar utilizando software de administración de dispositivos móviles y otras herramientas para garantizar que los datos estén protegidos adecuadamente, dijo Weinstein.
Como mínimo, los usuarios ya deberían estar encriptando los datos de la tarjeta SD para que alguien no pueda simplemente robar la tarjeta y leer los archivos.
Incluir seguridad tenía otras recomendaciones: apague la depuración de USB en el dispositivo Android yendo a Configuración-Opciones de desarrollador. Cambie el directorio de descarga predeterminado para archivos adjuntos de correo electrónico a una ubicación distinta de la tarjeta SD (/ sdcard / external_sd). De esa manera, incluso si el dispositivo se pierde o es robado, los datos están protegidos detrás del PIN o contraseña del dispositivo y no están expuestos.
Se aplican otros comportamientos de seguridad móvil, como evitar aplicaciones de fuentes que no sean tiendas de aplicaciones confiables, instalar software de seguridad móvil y proteger con contraseña el dispositivo.
"Trata de no perder tu teléfono", dijo Watkins.
