立場新聞 Stand News

用手機APP收電郵真係安全?

2016/10/8 — 9:56

小弟作為一個專業嘅資訊保安人員,得閒檢查一下手邊的電子裝備、伺服器同IP位址,都好合理!近日一時好奇,手痕檢查平時慣用的電郵Apps Microsoft Outlook(iOS),竟然發現一直以來都有位陌生的第三者「幫手」處理我的公司電郵……

以Apple Mail為例,這是一般電郵App傳送資料的過程。直來直往,整個過程也是在本地完成。

以Apple Mail為例,這是一般電郵App傳送資料的過程。直來直往,整個過程也是在本地完成。

(參考上圖) 先解釋一下一般電郵App的運作方法。以Apple的內置電郵App Mail為例,用戶用App接收電郵,理應直接經由本地ISP(網絡供應商,Internet Service Provider),直接由公司伺服器存取電郵資料。App內存有用戶自己的登入名稱和密碼(即用戶憑證 Credentials),因此你可以在手機上收取電郵。情況類似收取實體郵件的過程,你握著自己的鎖匙,走到信箱前開鎖、拿出郵件,完。過程中理應只有你參與其中,而且全部都是本地完成。

Microsoft Outlook透過第三方伺服器提取你的公司郵件

我經常在iPhone上經Outlook iOS App收取個人和公司的電郵,一直都覺得非常方便好用。不過有一日心血來潮,多手檢查了寄件同事的IP位址(等同地址),發現應該身在香港的他居然是由外國IP發出信件!於是我再檢查其他寄件人的IP位址,發現即使寄件者不同,大家的IP位址都來自同一個外國IP(見下圖的「52.37.20.202)」)。這非常奇怪,因為就同寄信一樣,每個人的IP也應該是不同的,即使一樣在公司發出,也會有不同的IP!而且本地收取、讀取的信件為何會由外國IP經手?

廣告

由IP可見,幾封電郵也是從外國寄到本地的,但事實上Made in HK的電郵!

由IP可見,幾封電郵也是從外國寄到本地的,但事實上Made in HK的電郵!

於是我估計,在我和公司伺服器中間應該還有一個第三方伺服器,仔細一查就發現是Amazon的雲端伺服器AWS。原來一直以來,我在手機上收取的電郵都不是直接由公司伺服器中提取的,而是經由AWS讀取的(見下圖),這是很不尋常的設計。你想想,你收信時會不會把自己的郵箱鎖匙交給一個陌生人,然後請對方代為取信,再轉交給你?不但不會,更無必要。

Outlook的iOS App莫名奇妙地將資料傳送到第三方Server

Outlook的iOS App莫名奇妙地將資料傳送到第三方Server

處理手法有什麼問題?

發現有關處理手法後,我主要有三個疑問:

廣告

1. 為什麼要兜路到海外雲端?

2. 為什麼Outlook不通知用戶有關安排?

3. 為什麼用Amazon的雲端,不用自己的O365?

雖然AWS信譽不錯,但我不明白為何要特登將我的電郵扔到海外,再扔回港。另外,第三方AWS雲端會否紀錄我的用戶憑證?我沒法知道Microsoft選用的第三方是純粹傳送資料,還是中間已經儲存我的密碼,然後在未獲授權的情況下提取我的電郵。

早前有另一名資安博客也發現Outlook App的不尋常,並作出深入報道(分兩篇)。他指Outlook App是Microsoft收購電郵App Acompli後重新包裝而成的,Acompli在去年1月版本(見篇)的T&C中提到他們會「暫時存取 “temporarily stored”」你的資料。有關條款在去年2月(就是報道出爐後)已經刪去。(Acompli私隱條款

安全問題

Outlook App的「兜路」收信過程令我想到行內人稱為「中間人攻擊」(Man in the Middle Attack)的手法,「指攻擊者在訊息傳送時,於發 送者和接收者之間,暗中讀取、插入及更改訊息的網上攻擊。」(政府資訊安全網)不過根據上文提到的條款,Acompli/ Outlook不會存取你的資料。

Outlook只是我找到的一個例子,其他電郵App可能都有相同問題(如Blue mail),所以問題可能不止在出現在Microsoft上!現在並沒有證據顯示這樣的處理手法會構成危險,不過安全起見,如果你已經習慣用Outlook iOS App又不想轉用內置電郵App,你就要確保自己的電郵系統做好SSL防護。即使第三方不會儲存你的資料,最好還是在用戶(你自己)和公司伺服器使用POP3/IMAP-SSL,確保自己的網絡安全。

以防萬一,選用POP/IMAP-SSL加密資料

以防萬一,選用POP/IMAP-SSL加密資料

一般人都慣用流動裝置收取個人或公事的郵件,雲端服務近年更成為公私營機構、學校選用電郵伺服器時的大熱之選。不過舊雲上面做緊咩,你又真的清楚嗎?你的個人資料由哪一舊雲跳到哪一舊雲,你又真的清楚明白?雖然最後我都會繼續用Outlook App,但作為使用者,你對資料處理手法都有知情權。知多無壞,做資訊保安大忌就是「大安旨意」!

原刊於Cybersecurity Plus

發表意見