Outlook 為不少企業選用的電郵服務,據近日美國資訊安全公司 Include Security 指出,Android 4.4 之前的 Android 版 Outlook.com 的用戶有資料外洩的風險。美國資訊安全公司 Include Security 指出,Outlook.com 將資料儲存於 SD 卡的檔案系統及使用,讓人誤以為資料有加密的 Pincode 設計,有機會令用戶的 Outlook 資料外洩。
非 Android 4.4 版用戶受風險威脅
Include Security 的研究人員 Paolo Soto 指,Outlook.com 的設計會將資料儲存放在 SD 卡上,此舉容許任何有 READ_EXTERNAL_STORAGE 存取權限的應用程式,在裝置沒有被取得 Root 權限的情況下仍可以存取到卡內的資料。他續指,任何第三方程式只要使用 ADB shell 指令就可以查閱到 /sdcard/attachments 路徑下的附件內容。
另一個問題為 Outlook.com 備有 8 碼的 Pincode 密碼設計,旨在防止他人可以輕易從手機螢幕打開 Outlook.com 的用戶端。但這項功能預設卻為未啟動,即使宣稱官方啟動後「可保護您的電子郵件」,但大部份用戶似地乎都不知道自己要手動啟動此功能,這讓用戶誤以為郵件內容已遭加密。而 8 碼的 Pincode 亦非防護資料本身,只是在程式入口多加了一道鐵閘,有心人還是可以透過 ADB 指令如 USB 除錯存取到 SD 卡的檔案系統。因此若用戶有啟用到手機上的 USB 除錯功能,資料就有機會被外人查閱到。
安全專家建議用戶到手機上的「設定」的「開發者選項」中關閉「USB除錯」功能,並使用硬件加密,或採用裝置及 SD 卡檔案系統的加密防護等保安措施,以防止第三方程式存取到隱私或機密資料。Include Security 亦建議使用者到Outlook.com 中的設定中將附件資料匣儲存路徑修改,避免將附件儲存在可移除的記憶體中以防止郵件附件透過 SD 卡外洩。