r   e   k   l   a   m   a
r   e   k   l   a   m   a

Postronne aplikacje mogą czytać twoją pocztę z klienta Outlook.com na Androidzie

Strona główna AktualnościOPROGRAMOWANIE

Bezpieczeństwo danych przetwarzanych przez aplikacje dla Androida wciąż pozostaje kwestią, której trzeba przyglądać się szczególnie pilnie. To bowiem nie tylko kwestia niedociągnięć samego systemu operacyjnego, ale też kiepskich praktyk deweloperów, którzy tworzą dla niego oprogramowanie. Dobrze widać to po ostatnim odkryciu zespołu Include Security, który pod lupę wziął mobilnego klienta poczty Outlook.com od Microsoftu.

Oficjalna aplikacja poczty od Microsoftu cieszy się wśród użytkowników urządzeń z Androidem sporą popularnością – liczba jej oficjalnych pobrań z Google Play znalazła się w przedziale 10 – 50 mln. Większość tych ludzi ryzykuje teraz, że wiadomości przetwarzane przez mobilnego klienta Outlook.com są swobodnie dostępne dla innych aplikacji zainstalowanych w systemie. Jako że wiele osób w swoich e-mailach trzyma poufne, wrażliwe dane, a Android jest dziś ulubionym celem ataków cyberprzestepców, trudno zbagatelizować to zagrożenie.

Problem wziął się z nieprzemyślanego wykorzystania zewnętrznej pamięci masowej urządzenia. Aby zaoszczędzić miejsce na systemowych partycjach, klient Outlook.com przechowuje dane na karcie SD. Robi to jednak w jawnej formie, a to oznacza, że każda inna aplikacja, mająca całkiem przecież niewinne uprawnienie READ_EXTERNAL_STORAGE, może uzyskać do wiadomości tych dostęp.

r   e   k   l   a   m   a

Systemowe rozwiązanie, eliminujące takie zagrożenia, pojawiło się dopiero w Androidzie 4.4. Wersja ta wprowadziła m.in. ograniczenia w dostępie aplikacji do nienależących do nich folderów na zewnętrznej pamięci masowej. Nawet ze wspomnianym uprawnieniem mogą one czytać tylko z wyznaczonej dla siebie „piaskownicy”. Wciąż jednak nie rozwiązuje to problemu nieupoważnionego dostępu do danych na np. skradzionym telefonie – czy to za pomocą kabelka USB i Android Debug Bridge, czy poprzez zwykłe wyciągnięcie karty SD z urządzenia.

Zdaniem odkrywców tego zagrożenia, użytkownicy klienta Outlook.com mogą być wprowadzani w błąd co do faktycznego stanu zabezpieczeń ich poczty wskutek stosowanej w aplikacji blokady dostępu za pomocą kodu PIN. Zabezpieczenie PIN-em nie szyfruje przechowywanych na urządzeniu danych, blokuje jedynie dostęp do nich przez graficzny interfejs aplikacji. Dla kompetentnych technicznie osób to kwestia raczej oczywista, ale jak pokazały klasyczne „testy mamusi” przeprowadzone przez badaczy Include Security, użytkownicy mniej obeznani z kwestiami bezpieczeństwa byli przekonani, że jak ustawią już dostępowy PIN, to ich dane będą chronione na każdy sposób.

Microsoft jest oczywiście przekonany, że z jego strony wszystko jest w porządku: użytkownicy, którzy chcą, by ich dane były bezpieczne, powinni po prostu szyfrować dane na kartach SD. Nie powinni też zakładać, że ich dane domyślnie zostały zaszyfrowane, o ile aplikacja jawnie nie deklaruje, że tak się stało. Include Security nie podziela tej opinii. Ich zdaniem aplikacje powinny informować użytkowników o zagrożeniu wiążącym się z przechowywaniem niezaszyfrowanych danych, wykorzystując sprawdzone rozwiązania do szyfrowania ich za zgodą użytkownika. Bazy danych z wiadomościami można w ten sposób zabezpieczyć za pomocą dodatku SQLCipher for Android, załączniki zaś przechowywać w formacie Opaque Binary Blob, który umożliwia spakowanie dużych plików i zapisanie ich na nośniku w taki sposób, że tylko tworząca je aplikacja ma do nich dostęp.

Pozostaje oczywiście pytanie, na ile zajmujący się Androidem zespół deweloperski Microsoftu jest w ogóle zainteresowany takim ulepszaniem oprogramowania pisanego na konkurencyjną platformę. Zawsze można przecież przedstawiać Windows Phone jako bezpieczną alternatywę – w systemie tym dane zapisywane na karcie SD są znacznie lepiej chronione, niż w starszych wersjach Androida.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.