SDK

Ranjivost može dopustiti da se vaši Dropbox datoteke prenesu na tuđi račun

Android aplikacije koji koriste Dropbox za pohranu i izgrađeni su pomoću starijih verzija svog SDK-a, podložni su napadima koji mogu ukrasti podatke, iako je Dropbox objavio popravak, prema IBM-ovim istražiteljima sigurnosti.

IBM-ov tim za istraživanje sigurnosti aplikacija izjavio je u srijedu kako su imali pronašao je način povezivanja vlastitog Dropbox računa s Android aplikacijom na telefon druge osobe koji se povezuje s uslugom pohrane. Nakon uspješnog napada, podaci prenesen od strane aplikacije isporučuju se na napadačev Dropbox račun.

Dropbox objavljuje SDK (paket za razvoj softvera) za povezivanje svoje usluge s nekom aplikacijom. Pogreška, nadimak "DroppedIn", utjecala je na verziju Dropbox SDK 1.5.4 do 1.6.1 i bila je fiksirana u verziji 1.62, rekao je IBM u postu na blogu.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

Napad, iako ozbiljan, nije lako izvesti. Također neće funkcionirati ako osoba ima instaliranu mobilnu aplikaciju Dropboxa na svom telefonu i neće omogućiti napadaču pristup potpunom sadržaju Dropbox računa.

Dropbox je rekao da problem ne postoji hakeri su iskoristili za pristup podacima i da je većina popularnih aplikacija koje koriste njegov SDK popravljena.

Napadač mora prvo nabaviti pristupni token za aplikaciju omogućenu za Dropbox, što se može učiniti preuzimanjem aplikacije i autorizacijom to za vlastiti Dropbox račun.

Napadač tada mora navesti nekoga na web stranicu ili web stranicu sa zlonamjernim kodom. Kôd prima iz telefona žrtve veliki kriptografski broj, poznat kao "nonce", koji se koristi kao dio postupka provjere autentičnosti za povezivanje računa. Pomoću pristupnog koda i nonce napadač može povezati vlastiti Dropbox račun s Androidovom aplikacijom žrtve.

Jednosmjerni korisnici mogu otkriti jesu li napadnuti prijavom na Dropbox pomoću računala i provjerom postoje li datoteke koje bi trebalo biti spremljene mobilnom aplikacijom pomoću Dropboxa koji nisu tamo, napisao je IBM. Rekao je da nema mnogo Android aplikacija koje koriste Dropboxov SDK, ali nekoliko popularnih, uključujući Microsoftov Office Mobile i AgileBits '1Password.