فيديو: من زينو نهار اليوم ØµØ Ø¹ÙŠØ¯ÙƒÙ… انشر الÙيديو Øتى يراه كل Ø§Ù„Ø (شهر نوفمبر 2024)
إذا كنت تستخدم تطبيق Android لقراءة البريد الإلكتروني وإرساله من Outlook.com ، فلن يتم حفظ مرفقات البريد الإلكتروني بشكل آمن. تجادل Microsoft بأن التشفير ليس مسؤولية التطبيق في المقام الأول.
كتب الباحثون باولو سوتو على مدونة الشركة الأسبوع الماضي أن الباحثين في Include Security قاموا بتصميم هندسي عميل أندرويد لمايكروسوفت لموقع Outlook.com ووجدوا أن مرفقات البريد الإلكتروني مخزّنة بشكل غير مشفر على بطاقة SD الخاصة بالجهاز. يمكن قراءة هذه الملفات بواسطة أي تطبيق يمكنه الوصول إلى بطاقة SD. يمكن لأي شخص نشر بطاقة SD في جهاز آخر وقراءة المحتويات.
شعور déjà فو ، أي شخص؟ في وقت سابق من هذا الشهر ، تعرضت Apple لانتقادات عندما تبين أن مرفقات البريد لم يتم تشفيرها باستمرار على أجهزة iOS. حقيقة أن المرفقات غير مشفرة على نظام iOS قد ترفع الأعلام الحمراء للشركات والحكومات التي لديها موظفون يصلون إلى بيانات العمل على الأجهزة المحمولة. كان لمشكلة iOS تأثير محدود لأن رمز مرور الجهاز يعمل كرادع. ومع ذلك ، في هذه الحالة ، إذا كان التطبيق يقوم بحفظ الملفات على بطاقة SD ، فلا يوجد حاجز لمنع المهاجمين من الابتعاد.
تجدر الإشارة إلى أن العديد من التطبيقات الأخرى تخزن الملفات على بطاقة SD دون تشفيرها أولاً. وقال أندرو هوج ، الرئيس التنفيذي والمؤسس المشارك لـ viaForensics: "على الرغم من أنه ليس مثاليًا ، إلا أنه بالتأكيد هو المعيار بالنسبة لمعظم التطبيقات التي تخزن البيانات على بطاقة SD". وقال إن الشركة قد نبهت مطوري التطبيقات في الماضي.
تضمين أمان أقر أن تطبيقات المراسلة الأخرى تحمل سلوكًا مشابهًا. وقال إريك كابيتاس ، الشريك الإداري في "Include Security": "نريد زيادة وعي المستخدم بالمسألة الأكبر المتمثلة في تشفير نظام ملفات الهاتف المحمول باعتباره ضرورة لخصوصية البيانات".
هل هي وظيفة التطبيق؟
في SecurityWatch ، نذكّر القراء بشكل متكرر بتمكين رمز مرور أو رمز PIN لحماية محتويات بياناتهم في حالة فقد أو سرقة أجهزتهم. حقيقة أن اللص يمكنه فقط نشر بطاقة SD في جهاز مختلف ومشاهدة بيانات البريد يبطل كامل التوقعات بأن تأمين الجهاز الفعلي سيبقي المهاجمين خارج بياناتنا. لكن السؤال بسيط: هل مهمة التطبيق هي تشفير البيانات أم المستخدم؟
وفقًا لـ Soto ، أخبرت Microsoft Include Security أنه "يجب على المستخدمين ألا يفترضوا أن البيانات مشفرة افتراضيًا في أي تطبيق أو نظام تشغيل ما لم يتم تقديم وعد صريح بهذا المعنى."
قال سوتو إن العكس هو الصحيح ، لأنه من المعقول أن يفترض المستخدمون أن رقم التعريف الشخصي الذي يدخلونه لفتح التطبيق يحمي أيضًا سرية رسائلهم. وقال سوتو "على أقل تقدير ، يمكن لبائعي التطبيقات أن يحذروا المستخدم ويقترحوا تشفير نظام الملفات لأن التطبيق لا يوفر أي ضمان للسرية".
وقال متحدث باسم Microsoft لـ SecurityWatch: "يمكن للعملاء الذين يرغبون في تشفير بريدهم الإلكتروني الاطلاع على إعدادات هواتفهم وتشفير بيانات بطاقة SD".
وقال كيفن واتكينز ، كبير المهندسين والمؤسس المشارك لـ Appthority ، لسوء الحظ ، يبدو أن هذا "سلوك شائع نراه كثيرًا". في أي وقت يتم تخزين البيانات الخاصة محليًا على الجهاز ، يمكن للمهاجم الوصول إليها عمومًا. تكمن المشكلة في أنه حتى لو قام مطورو التطبيقات بتطبيق إجراءات وقائية ، فإن المهاجم الذي يتسم بالتصميم أو عنيد بما فيه الكفاية لا يزال بإمكانه فك تشفير البيانات.
أخبرت Microsoft SecurityWatch أنه لا يمكن الوصول إلى البيانات من أحد التطبيقات بشكل غير قانوني بواسطة تطبيقات أخرى على Android بسبب ميزة صندوق الحماية. هذا صحيح إذا قام التطبيق بتخزين المرفقات في دليل بيانات التطبيق وليس بطاقة SD. كما لاحظ Hoog ، يمكن أن يستغرق ذلك مساحة كبيرة ، ولهذا السبب يستخدم المطورون بطاقة SD بدلاً من ذلك.
وقال هوج إنه يمكن للتطبيق تنزيل الملفات مؤقتًا إلى دليل / tmp ، مما يعني أن على المستخدمين تنزيل الملف في كل مرة. لكن هذا القرار له مطباته الخاصة.
من المتأثر
وقال مكسيم وينشتاين ، مستشار الأمن في سوفوس ، إن معظم المستهلكين قد لا يكونون متحمسين بشأن تداعيات الخصوصية ، لكن التأثير عليهم "بسيط نسبيًا".
الآثار الأكبر هي للمؤسسات التي تستخدم Outlook.com وترسل بيانات عالية القيمة عبر البريد الإلكتروني. ومع ذلك ، يجب أن يستخدموا بالفعل برنامج إدارة الأجهزة المحمولة وأدوات أخرى لضمان حماية البيانات بشكل صحيح ، كما قال وينشتاين.
على الأقل ، يجب أن يقوم المستخدمون بالفعل بتشفير بيانات بطاقة SD بحيث لا يمكن لشخص ما سرقة البطاقة وقراءة الملفات.
تشتمل ميزة "تضمين الأمان" على توصيات أخرى: قم بإيقاف تشغيل تصحيح أخطاء USB على جهاز Android من خلال الانتقال إلى "إعدادات مطور الإعدادات". قم بتغيير دليل التنزيل الافتراضي لمرفقات البريد الإلكتروني إلى موقع آخر غير بطاقة SD (/ sdcard / external_sd). بهذه الطريقة ، حتى إذا فقد الجهاز أو سُرق ، فإن البيانات محمية خلف رمز PIN أو رمز المرور الخاص بالجهاز ولا يتم كشفها.
يتم تطبيق سلوكيات أمان الأجهزة المحمولة الأخرى ، مثل تجنب التطبيقات من مصادر أخرى غير متاجر التطبيقات الموثوق بها ، وتثبيت برنامج أمان الهاتف المحمول ، وحماية كلمة المرور للجهاز.
قال واتكينز "حاول ألا تفقد هاتفك".