- Back to Home »
- Android , aplicações , outlook , segurança »
- Outlook.com para Android deixa dados dos utilizadores vulneráveis
terça-feira, 27 de maio de 2014
A aplicação da Microsoft para o serviço próprio de email apresenta duas características que na opinião da empresa de segurança Include Security baixam de forma significativa os níveis de segurança do software.
Todos os documentos anexados a mensagens de correio eletrónico na aplicação Outlook.com para Android ficam guardados numa pasta no cartão de armazenamento que pode ser acedida por outras aplicações. Para isso basta que as outras aplicações possam ter a permissão Read_External_Storage.
Basta portanto que o utilizador tenha uma aplicação maliciosa instalada no smartphone ou tablet para poder ter os anexos descarregados do email a serem roubados de forma simples. Também uma pessoa que tenha acesso físico ao telemóvel pode descarregar estes ficheiros.
Para resolver esta questão a empresa de segurança aconselha que o modo USB Debugging esteja desativado e que o telemóvel tenha uma aplicação instalada que encripte todos os dados.
Como explica o ZDNet, na versão 4.4 do Android a Google permite que as aplicações tenham uma pasta privada no cartão de armazenamento externo, mas que todas as versões anteriores do sistema operativo estão sujeitas à vulnerabilidade.
No início de maio foi descoberta uma falha semelhante na aplicação de email do iOS 7 quetambém não encriptava os anexos dos emails, deixando-os expostos a um roubo mais fácil.
A segunda funcionalidade que condiciona os níveis de segurança da aplicação Outlook.com é ao nível da definição de um pin de proteção. Num primeiro momento o utilizador escolhe proteger a aplicação através de um código de acesso – o que acontece -, mas num segundo momento a Microsoft diz que o pin serve para proteger os emails, quando isso não acontece.
O código, explica a Include Security, serve exclusivamente para controlar o acesso à aplicação e não implica, por exemplo, qualquer tipo de encriptação para os emails dos utilizadores, como parece dar a entender. Para pormenores técnicos sobre as falhas os leitores podem consultar o relatório completo da empresa.
Basta portanto que o utilizador tenha uma aplicação maliciosa instalada no smartphone ou tablet para poder ter os anexos descarregados do email a serem roubados de forma simples. Também uma pessoa que tenha acesso físico ao telemóvel pode descarregar estes ficheiros.
Para resolver esta questão a empresa de segurança aconselha que o modo USB Debugging esteja desativado e que o telemóvel tenha uma aplicação instalada que encripte todos os dados.
Como explica o ZDNet, na versão 4.4 do Android a Google permite que as aplicações tenham uma pasta privada no cartão de armazenamento externo, mas que todas as versões anteriores do sistema operativo estão sujeitas à vulnerabilidade.
No início de maio foi descoberta uma falha semelhante na aplicação de email do iOS 7 quetambém não encriptava os anexos dos emails, deixando-os expostos a um roubo mais fácil.
A segunda funcionalidade que condiciona os níveis de segurança da aplicação Outlook.com é ao nível da definição de um pin de proteção. Num primeiro momento o utilizador escolhe proteger a aplicação através de um código de acesso – o que acontece -, mas num segundo momento a Microsoft diz que o pin serve para proteger os emails, quando isso não acontece.
O código, explica a Include Security, serve exclusivamente para controlar o acesso à aplicação e não implica, por exemplo, qualquer tipo de encriptação para os emails dos utilizadores, como parece dar a entender. Para pormenores técnicos sobre as falhas os leitores podem consultar o relatório completo da empresa.