Aplicação Outlook.com do Android não cifra os emails guardados

Um dos grandes problemas dos sistemas operativos é o desconhecimento que os seus utilizadores têm do que se passa fora do olhar destes. Todos os processos que decorrem e a forma como a informação é tratada e guardada não são vistos e não existe informação sobre problemas ou falhas de segurança até estas serem conhecidas.

Pois surgiu agora mais uma descoberta de uma falha de segurança grave, desta vez na aplicação Outlook.com para o Android. Segundo uma empresa especializada em segurança esta aplicação não guarda os emails de forma cifrada. Mas os problemas não se ficam por ai.

A informação sobre os problemas da aplicação Outlook.com para Android foi descoberta pela empresa Include Security, que dedicou algum do seu tempo a avaliar esta e outras aplicações de vários sistemas operativos móveis.

Foi usado um processo de engenharia inversa para determinar a forma como a aplicação funciona e descobrir os eventuais pontos fracos e que representam uma falha de segurança.

Foram várias as descobertas feitas por esta equipa na aplicação de acesso ao serviço de email da Microsoft. Contrariamente ao que poderíamos pensar, a aplicação Outlook.com não foi desenvolvida pela Microsoft mas sim pela empresa Seven Networks.

O que foi descoberto representa uma falha muito grave de segurança e pode permitir a qualquer um o acesso aos emails e aos anexos de um utilizador de forma transparente e sem qualquer controlo.

Segundo a Include Security as mensagens e os emails das contas Outlook que são configuradas nesta aplicação são guardadas de forma clara e sem qualquer cifra ou encriptação directamente no sistema de ficheiros do Android.

Ao estar assim disponível esta informação no sistema de ficheiros do Android, qualquer aplicação mal intencionada ou comprometida pode facilmente copiar as mensagens e enviá-las para fora do equipamento. Da mesma forma se ligarem o Android a um computador comprometido as mensagens podem ser lidas, mediante algumas situações particulares.

A aplicação Outlook.com tem disponível um modo de segurança que através de um pin pode controlar o acesso às mensagens, mas esta apenas consegue impedir o acesso à interface da própria aplicação, não garantindo qualquer segurança adicional das mensagens registadas no sistema de ficheiros.

A informação sobre este problema foi apresentada pela Include Security à Microsoft no passado mês de Dezembro, para que este pudesse ser resolvido e adicionada uma camada adicional de segurança à aplicação.

Das duas vezes que fizeram este alerta a resposta por parte da Microsoft foi sempre a mesma. Os utilizadores apenas podem assumir que os seus dados estão protegidos e cifrados caso exista uma informação precisa nesse sentido.

A Include Security recomenda aos utilizadores do Outlook.com para Android que se protejam, tendo indicado algumas medidas simples. A primeira passa pelo desligar do Modo de Depuração no Android (Definições -> Opções de programador -> Modo de Depuração).

As duas seguintes passam pela utilização de cifra no sistema de ficheiros do Android e pela mudança da pasta onde os emails são guardados.

As declarações públicas da Microsoft sobre este problema reforçam a necessidade de usar criptografia nos discos e a necessária confiança nos métodos de segurança do Android e nos seus processos de sandboxing.