App Outlook.com per Android: alcune critiche sulla sicurezza

Gli esperti di sicurezza di Include Security hanno pubblicato un documento nel quale indicano alcune criticità scoperte nell'app Android per Outlook.com. È stato rilevato che l'app Outlook.com sviluppata da Microsoft salva di default gli allegati alle email sulla SD Card inserita nello smartphone. Purtroppo la modalità di salvataggio prevista consente a tutte le applicazioni in possesso della permission  READ_EXTERNAL_STORAGE di accedere agli allegati.

Il problema è in parte risolto in Android 4.4: infatti, in tale versione di sistema operativo le app possono creare sulla SD Card una propria cartella privata. Un secondo problema rilevato da Include Security riguarda la funzionalità di protezione con PIN impostabile dall'utente: osservando il comportamento di questo strumento si è rilevato che il PIN è utilizzato solo a scopo di controllo di accesso.

Non viene di fatto attivata una vera e propria protezione sui contenuti delle email, come una protezione crittografica ad esempio. Microsoft ha già pubblicato una risposta ufficiale in merito alle critiche sollevate da Include Security: viene fatto notare che l'app funziona all'interno di una sandbox, soluzione che già di per sé offre un livello di separazione e protezione dei dati. L'utente inoltre può attivare in modo consapevole la protezione crittografica della SD Card risolvendo così il problema relativo al possibile accesso agli allegati scaricati.

Le segnalazioni di Inside Security riguardano oltre che l'utente finale anche gli sviluppatori, ai quali rimane il compito di implementare e abilitare le necessarie opzioni di protezione. Da Microsoft e da Inside Security viene ovviamente la raccomandazione di abilitare per lo meno gli strumenti di sicurezza già disponibili in Android come ad esempio la protezione crittografica della SD Card, caratteristica che potrebbe essere attivata già di default.