Include Security ha scoperto che Outlook.com per Android non protegge adeguatamente i dati degli utenti. L’app che permette di accedere al servizio di posta elettronica salva gli allegati nella partizione SDcard per default. Questa area del file system è leggibile da tutte le app di terze parti con il permesso READ_EXTERNAL_STORAGE. Il problema è presente sui dispositivi che eseguono versioni precedenti ad Android 4.4, quindi esiste un rischio privacy per milioni di utenti in tutto il mondo.
L’azienda di sicurezza specifica che i file ricevuti insieme alle email sono memorizzati nella directory /sdcard/attachments
, visibile in chiaro. È sufficiente un tool di terze parti, con permesso di lettura allo storage esterno, per accedere liberamente agli allegati. Il modo più semplice è usare ADB per cercare i contenuti all’interno del file system. Incluse Security consiglia di disattivare il debug USB e di cambiare la directory predefinita per gli allegati. Ovviamente non bisogna scegliere come destinazione la SD card.
Il secondo problema individuato in Outlook.com per Android riguarda la funzionalità Pincode. L’utente può impostare un codice che impedisce l’accesso all’applicazione. Dopo aver attivato l’opzione delle impostazioni, verrà mostrato il messaggio “Per proteggere la tua email crea un pincode”. In realtà, le email non vengono criptate. Basta un tool di terze parti per trovare il database di Outlook.com e poche istruzioni SQL per leggere il contenuto dei messaggi.
Microsoft ha dichiarato che le applicazioni Android vengono eseguite all’interno di sandbox, quindi i dati degli utenti sono protetti dal sistema operativo. Tuttavia consiglia di attivare la crittografia del file system. Questa è la soluzione che garantisce la maggiore sicurezza. Ci sono però due “effetti collaterali”: le prestazioni saranno leggermente inferiori e l’unico modo per disattivare la crittografia è il reset hardware (il ripristino delle impostazioni di fabbrica cancellerà tutti i dati).