Video: [Hindi] How to Easily Extract APK Files for Future USE | Android App Review #25 (Nobyembre 2024)
Kung gagamitin mo ang Android app upang mabasa at magpadala ng email mula sa Outlook.com, ang mga kalakip ng email ay hindi ligtas na nai-save. Ipinagtapat ng Microsoft na ang pag-encrypt ay hindi responsibilidad ng app sa unang lugar.
Ang mga mananaliksik sa Isama ang Security reverse engineered engineers ng client ng Microsoft para sa Outlook.com at natagpuan na ang mga kalakip ng email ay naka-imbak na hindi naka-encrypt sa SD card ng aparato, isinulat ng mananaliksik na si Paolo Soto sa blog ng kumpanya noong nakaraang linggo. Ang mga file na ito ay maaaring basahin ng anumang app na may access sa SD card. Kahit sino ay maaaring i-pop ang SD card sa isa pang aparato at basahin ang mga nilalaman.
Isang pakiramdam ng déjà vu, kahit sino? Mas maaga sa buwang ito, binatikos ang Apple nang naka-on ang mga kalakip ng mail ay hindi palaging patuloy na naka-encrypt sa mga aparato ng iOS. Ang katotohanan na ang mga attachment ay hindi naka-encrypt sa iOS ay maaaring magtaas ng mga pulang bandila para sa mga korporasyon at gobyerno na may mga empleyado na nag-access ng data ng trabaho sa mga mobile device. Ang isyu ng iOS ay may limitadong epekto dahil ang passcode ng aparato ay nagtrabaho bilang isang pagpigil. Sa kasong ito, gayunpaman, kung ang app ay nai-save ang mga file sa SD card, walang kalsada upang maiiwasan ang mga umaatake.
Ito ay nagkakahalaga na tandaan na maraming iba pang mga app ang nag-iimbak ng mga file sa SD card nang hindi muna nai-encrypt ang mga ito. "Habang hindi perpekto, ito ay tiyak na pamantayan para sa karamihan ng mga app na nag-iimbak ng data sa SD Card, " sabi ni Andrew Hoog, CEO at co-founder ng viaForensics. Inalertuhan ng kumpanya ang mga developer ng app sa nakaraan, aniya.
Isama ang Security kinilala ang iba pang mga apps sa pagmemensahe ay nagpapakita ng magkatulad na pag-uugali. "Nais naming madagdagan ang kamalayan ng gumagamit tungkol sa mas malaking isyu ng pag-encrypt ng filesystem ng mobile phone na isang pangangailangan para sa privacy ng data, " sabi ni Erik Cabetas, pamamahala ng kasosyo sa Isama ang Security.
Ito ba ang Trabaho ng App?
Sa SecurityWatch, madalas naming paalalahanan ang mga mambabasa na paganahin ang isang passcode o isang PIN upang maprotektahan ang mga nilalaman ng kanilang data kung sakaling mawala o ninakaw ang kanilang aparato. Ang katotohanan na ang isang magnanakaw ay maaaring i-pop lamang ang SD card sa ibang aparato at makita ang data ng mail na nagpapawalang-bisa sa buong pag-asa na ang pag-secure ng pisikal na aparato ay magpapanatili sa mga umaatake sa labas ng aming data. Ang tanong, gayunpaman, ay simple: Trabaho ba ng app na i-encrypt ang data, o ang gumagamit?
Ayon kay Soto, sinabi ng Microsoft na Isama ang Seguridad na "ang mga gumagamit ay hindi dapat ipagpalagay na ang data ay na-encrypt nang default sa anumang aplikasyon o operating system maliban kung isang malinaw na pangako sa epekto na ito ay ginawa."
Sinabi ni Soto na ang kabaligtaran ay dapat na mangyari, dahil makatuwiran na ipalagay ng mga gumagamit ang PIN na pinasok nila upang buksan ang app ay pinoprotektahan din ang kumpidensyal ng kanilang mga mensahe. "Sa pinakadulo, ang mga vendor ng app ay maaaring magbalaan sa isang gumagamit at iminumungkahi na i-encrypt nila ang file system dahil ang application ay hindi nagbibigay ng katiyakan ng pagiging kompidensiyal, " sabi ni Soto.
"Ang mga customer na nais na i-encrypt ang kanilang email ay maaaring dumaan sa kanilang mga setting ng telepono at i-encrypt ang data ng SD card, " sinabi ng isang tagapagsalita ng Microsoft sa SecurityWatch.
Sa kasamaang palad, ito ay lilitaw na "isang karaniwang pag-uugali na madalas nating nakikita, " sabi ni Kevin Watkins, punong arkitekto at co-founder ng Appthority. Anumang oras pribadong data ay naka-imbak nang lokal sa aparato, karaniwang naa-access ito ng isang umaatake. Ang problema ay kahit na ang mga developer ng app ay nagpapatupad ng mga pananggalang, ang isang nagsasalakay na natutukoy o sapat na matindi ay maaari pa ring i-decrypt ang data, ayon kay Watkins.
Sinabi ng Microsoft sa SecurityWatch na ang data mula sa isang app ay hindi maaaring iligal na mai-access ng iba pang mga app sa Android dahil sa tampok na sandbox. Totoo iyon kung ang mga app ay nag-iimbak ng mga attachment sa direktoryo ng data ng app at hindi ang SD card. Tulad ng nabanggit ni Hoog, maaari itong tumagal ng masyadong maraming espasyo, kung saan ang dahilan kung bakit ginagamit ng mga developer ang SD card, sa halip.
Ang app ay maaaring pansamantalang mag-download ng mga file sa direktoryo ng / tmp, na nangangahulugang kailangang i-download ng mga gumagamit ang file sa bawat oras, sinabi ni Hoog. Ngunit ang pagpapasyang iyon ay may sariling mga pitfalls.
Sino ang Naaapektuhan
Karamihan sa mga mamimili ay maaaring hindi ligaw tungkol sa mga implikasyon sa pagkapribado, ngunit ang epekto sa kanila ay "medyo menor de edad, " sabi ni Maxim Weinstein, isang tagapayo sa seguridad sa Sophos.
Ang pinakamalaking implikasyon ay para sa mga organisasyon na gumagamit ng Outlook.com at nagpapadala ng data na may mataas na halaga sa pamamagitan ng email. Gayunpaman, dapat na gumagamit na sila ng software ng pamamahala ng mobile device at iba pang mga tool upang matiyak na maayos na protektado ang data, sinabi ni Weinstein.
Sa pinakadulo, ang mga gumagamit ay dapat na naka-encrypt ng data ng SD card upang ang isang tao ay hindi lamang maaaring magnakaw ng card at basahin ang mga file.
Isama ang Security ay may iba pang mga rekomendasyon: I-off ang USB debugging sa Android device sa pamamagitan ng pagpunta sa Mga Pagpipilian sa Mga Setting ng Developer. Baguhin ang direktoryo ng pag-download ng default para sa mga kalakip ng email sa isang lokasyon maliban sa SD card (/ sdcard / external_sd). Sa ganoong paraan, kahit na nawala o ninakaw ang aparato, ang data ay protektado sa likod ng aparato ng PIN o passcode at hindi nakalantad.
Ang iba pang mga pag-uugali sa mobile security ay nalalapat, tulad ng pag-iwas sa mga app mula sa mga mapagkukunan maliban sa mga mapagkakatiwalaang mga tindahan ng app, pag-install ng mobile security software, at pagprotekta sa password ng aparato.
"Subukang huwag mawala ang iyong telepono, " sabi ni Watkins.
