Include Securityは5月21日(米国時間)、Android端末から米MicrosoftのOutlook.comにアクセスできるAndroidアプリ「Outlook.com for Android」について、メールメッセージや添付ファイルに暗号化対策が施されていないと指摘している。Microsoftはこれについて自社の責任ではないとの態度を示しているという。
Outlook.com for AndroidはSeven Networksと米Microsoftとの共同開発の形をとっており、Google Playで無料公開されているアプリだ。ユーザーはこれを利用して電子メールサービスのOutlook.comにAndroidよりアクセスできる。
|
|
|
Outlook.com for Androidの操作画面 |
|
今回、Include Securityはリバースエンジニアを行ってOutlook.com for Androidの安全性を調査した。その結果、Androidのファイルシステムを利用するデバイス上のストレージで、メッセージや添付ファイルの機密性を保つための対策が講じられていないことがわかった。これを利用して、悪意あるコードが入った外部のアプリは暗号化されていない件名、本文、添付ファイルにアクセス出来る状態だという。
Pinコード機能についても、GUIのみを保護するもののであり、ファイルシステム上のメッセージの機密性を約束するものではないという。添付ファイルはデフォルトでsdcard/attachmentsフォルダに自動保存されるが、これはAndroid端末に物理的にアクセスした人も読むことができる危険があることになる。
Include Securityはユーザーに対し、設定画面の「Settings」から開発者向け機能の「Developer Options」を選択し、「USB Debugging」を選択してオフにするようアドバイスしている。同時に、Android端末とSDカードファイルシステム全体を暗号化することも推奨している。
Include Securityが2013年末にMicrosoftにこのことを知らせたところ、Includeが指摘するリスクに関する責任は自社ソフトウェアにあるということに同意しなかったという。
同社が掲載したMicrosoftからの回答文には、「明示的に取り組みを講じているとうたっていないかぎり、ユーザーはあらゆるアプリケーションやOSがデフォルトで暗号化されていると思うべきではない」との考えを記している。2014年5月15日に再度連絡をとったところ、同じ見解を示したとのことだ。
調査は2013年秋に行われたが、プライバシー擁護団体が先に、Appleの「iOS 7」で添付ファイルの暗号化がされていないと指摘していることから、自社の調査を共有することが正しいと判断したと記している。
