資安公司Include Security指出 ,Outlook.com for Android行動應用的兩項特性可能導致使用者資料外洩,一是將資料儲存於SD記憶卡的檔案系統上,另一項是Pincode設計讓人誤以為資料有加密。

Include Security安全研究人員Paolo Soto指出,Outlook.com for Android的設計是將資料儲存在裝置的SD卡上,這使得任何具有EAD_EXTERNAL_STORAGE存取權限的應用程式都得以存取到卡上的資料,即使裝置本身沒有被取得root權限。他表示,第三方應用只要使用ADB shell指令就可以找到/sdcard/attachments路徑下的附檔內容。

安全人員指出,Android 4.4之後的版本在SD卡上增加私密資料匣,但之前版本的用戶就有資料外洩的可能性。

另一個問題是Outlook.com for Android應用有8碼Pincode密碼的設計,旨在防止從手機螢幕介面開啟Outlook.com用戶端。這項功能預設為不啟動,經使用者手動啟動後宣稱「可保護您的電子郵件」。

Include Security指出,這讓使用者誤以為郵件內容已獲得加密,其實不然,「密碼」並非防護資料本身。有心人士還是可以透過ADB指令,像是USB除錯存取到SD卡的檔案系統,因此如果手機啟用了USB除錯功能,資料就可能因此被外人看到。

安全專家建議使用者到「設定」->「開發者選項」->找到「USB除錯」並關閉,而且建議使用者使用硬體加密,或是採用裝置及SD卡檔案系統的全磁碟加密防護,以防第三方應用存取到隱私或機密資料。

另外,為防郵件附檔透過SD卡外洩,Include Security也建議使用者到「設定」->「一般」->「附檔設定」->「附檔資料匣」路徑修改郵件附檔的下載目錄,不要把附檔資料儲存在抽取式的SD卡上。

微軟則對媒體表示,微軟已採用多種技術及程序來保護使用者資料,例如Android 版Outlook.com 應用是以沙箱方式執行,和資料是分開的。此外,使用 者也可以透過手機設定加密SD卡。 日前也有研究人員指出iOS存在漏洞,有心者取得iPhone及iPad等裝置之後可繞過密碼保護直接存取郵件中的附加檔案。(編譯/林妍溱)

 

熱門新聞

Advertisement