Az Android alkalmazások fejlesztői frissíteniük kell a Dropbox legújabb SDK-ját

Android alkalmazások hogy a Dropboxot tárolják, és az SDK régebbi verziójával épülnek fel, sebezhetőek lesznek az adatok ellopására, bár a Dropbox kiadta a javítást az IBM biztonsági kutatói szerint.

Az IBM alkalmazások biztonsági kutatócsapata szerint szerdán találtak módot arra, hogy összekapcsolják a saját Dropbox-fiókjukat egy Android-alkalmazással egy másik személy telefonján, amely összekapcsolódik a tárhely szolgáltatással. Sikeres támadás után az alkalmazás által feltöltött adatok a támadó Dropbox-fiókjába kerülnek.

A Dropbox egy SDK-t (szoftverfejlesztő készletet) állít össze szolgáltatásának az alkalmazáshoz történő összekapcsolásával. A hiba, a "DroppedIn" nevű becenevet a Dropbox SDK 1.5.4-től 1.6.1-ig terjedő változata okozta, és az 1.62-es verzióban rögzítették, az IBM azt mondta egy blogbejegyzésben.

[További olvasnivalók: Hogyan távolítsunk el rosszindulatú programokat Windows számítógépről]

A támadás, bár komoly, nem könnyű elvégezni. Nem fog működni abban az esetben sem, ha egy személy Dropbox saját mobilalkalmazását telepítette a telefonjára, és nem ad a támadó hozzáférését a Dropbox-fiók teljes tartalmához.

A Dropbox szerint a probléma nem tűnik a hackerek kihasználták az adatokhoz való hozzáférést, és az SDK-t használó népszerű alkalmazások nagy része fel lett javítva.

A támadónak először hozzáférési tokenet kell szereznie egy Dropbox-kompatibilis alkalmazáshoz, amelyet az alkalmazás letöltése és engedélyezése saját Dropbox számlájára.

A támadónak tehát egy rosszindulatú kóddal rendelkező weboldalra vagy weboldalra kell vonzania valakit. A kód megszerzi az áldozat telefonjától egy nagy titkosítási számot, amelyet "nonce" néven ismerünk el, és amelyet a hitelesítési folyamat részeként egy fiók összekapcsolására használunk. A hozzáférési kóddal és a nonce-lal a támadó saját Dropbox-fiókját összekapcsolhatja az áldozat Android-alkalmazásával.

Az egyik módja annak, hogy a felhasználók meg tudják-e támadni, ha a PC-n keresztül bejelentkeznek a Dropboxba, és ellenőrzik, vannak-e fájlok amit egy mobilalkalmazásnak kellett volna mentenie a Dropbox segítségével, amely nincs ott, írta az IBM. Azt mondta, hogy nincs sok Android-alkalmazás, amelyek a Dropbox SDK-jét használják, de néhány népszerű, például a Microsoft Office Mobile és az AgileBits '1Password.

Mivel néhány Android alkalmazást nem lehet gyorsan frissíteni, a támadás ellenére letölti a Dropbox mobil verzióját, amely "kihasználja a kizsákmányolást" - írta az IBM.