شماره: IRCNE2015022425
تاريخ: 27/11/93
مايكروسافت در حال توسعه راهكاري براي يك نقص امنيتي رمزنگاري در برنامههاي Outlook اندرويد و iOS است كه باعث ميشود برخي دستگاهها، سياستهاي امنيتي دپارتمان فناوري اطلاعات را نقض نمايند.
اين شركت اعلام كرد كه در چند ماه آينده، ويژگيهاي ديگري از جمله قفل PIN و سياستهاي جديد Exchange ActiveSync اضافه خواهند شد تا امنيت را براي دپارتمانهاي فناوري اطلاعات سازمانها بيشتر كنند.
مدير مهندسي شركت Rapid 7’s Mobilesafe با نام ديرك سيگوردسان اين نقص امنيتي را كشف كرده و نشان داده بود كه چگونه در برخي دستگاههاي موبايل، سياستهاي رمزنگاري نقض ميشوند.
سيگوردسان در بلاگ خود نوشت: «با Outlook براي اندرويد و iOS، هر سياست ActiveSync تعريف شده بر روي سرور به طور كامل ناديده گرفته ميشود. شركت شما ميتواند يك كد عبور يا سياست رمزنگاري پيچيده تعريف كند كه درصورت استفاده از اين كلاينت ايميل توسط كارمندان، كلاً هيچ تأثيري نخواهد داشت. مسائل امنيتي بالقوه ديگري نيز در مورد Outlook وجود دارد كه اين مورد، از همه مهمتر است.»
وي توصيه كرده است كه درصورتيكه سازمان شما به هر شكلي به سياستهاي ActiveSync وابسته است، بايد بلافاصله دسترسي ActiveSync را به Outlook براي iOS و اندرويد مسدود نماييد.
يك محقق امنيتي ديگر به نام رنه وينكلماير نيز در ماه ژانويه و در زمان عرضه اين نرمافزار، در مورد تعدادي از نقايص امنيتي ديگر در برنامههاي Outlook هشدار داده بود. وي توضيح داد كه مايكروسافت به كاربران اجازه ميدهد پيوستهاي ايميل سازماني را با حسابهاي شخصي به اشتراك بگذارند، ID هاي ActiveSync را بر روي دستگاه شخصي و سپس با مايكروسافت به اشتراك بگذارند.
وي توضيح داده بود كه «تنها توصيهاي كه من در اين مرحله ميتوانم بكنم اين است كه از دسترسي اين برنامه به سرورهاي ايميل شركت خود جلوگيري كنيد. و به كاربران خود اطلاع دهيد كه نبايد از اين برنامه استفاده نمايند.»
- 2