Dropbox API in 7 minutes
Android alkalmazások hogy a Dropboxot tárolják, és az SDK régebbi verziójával épülnek fel, sebezhetőek lesznek az adatok ellopására, bár a Dropbox kiadta a javítást az IBM biztonsági kutatói szerint.
Az IBM alkalmazások biztonsági kutatócsapata szerint szerdán találtak módot arra, hogy összekapcsolják a saját Dropbox-fiókjukat egy Android-alkalmazással egy másik személy telefonján, amely összekapcsolódik a tárhely szolgáltatással. Sikeres támadás után az alkalmazás által feltöltött adatok a támadó Dropbox-fiókjába kerülnek.
A Dropbox egy SDK-t (szoftverfejlesztő készletet) állít össze szolgáltatásának az alkalmazáshoz történő összekapcsolásával. A hiba, a "DroppedIn" nevű becenevet a Dropbox SDK 1.5.4-től 1.6.1-ig terjedő változata okozta, és az 1.62-es verzióban rögzítették, az IBM azt mondta egy blogbejegyzésben.
[További olvasnivalók: Hogyan távolítsunk el rosszindulatú programokat Windows számítógépről]A támadás, bár komoly, nem könnyű elvégezni. Nem fog működni abban az esetben sem, ha egy személy Dropbox saját mobilalkalmazását telepítette a telefonjára, és nem ad a támadó hozzáférését a Dropbox-fiók teljes tartalmához.
A Dropbox szerint a probléma nem tűnik a hackerek kihasználták az adatokhoz való hozzáférést, és az SDK-t használó népszerű alkalmazások nagy része fel lett javítva.
A támadónak először hozzáférési tokenet kell szereznie egy Dropbox-kompatibilis alkalmazáshoz, amelyet az alkalmazás letöltése és engedélyezése saját Dropbox számlájára.
A támadónak tehát egy rosszindulatú kóddal rendelkező weboldalra vagy weboldalra kell vonzania valakit. A kód megszerzi az áldozat telefonjától egy nagy titkosítási számot, amelyet "nonce" néven ismerünk el, és amelyet a hitelesítési folyamat részeként egy fiók összekapcsolására használunk. A hozzáférési kóddal és a nonce-lal a támadó saját Dropbox-fiókját összekapcsolhatja az áldozat Android-alkalmazásával.
Az egyik módja annak, hogy a felhasználók meg tudják-e támadni, ha a PC-n keresztül bejelentkeznek a Dropboxba, és ellenőrzik, vannak-e fájlok amit egy mobilalkalmazásnak kellett volna mentenie a Dropbox segítségével, amely nincs ott, írta az IBM. Azt mondta, hogy nincs sok Android-alkalmazás, amelyek a Dropbox SDK-jét használják, de néhány népszerű, például a Microsoft Office Mobile és az AgileBits '1Password.
Mivel néhány Android alkalmazást nem lehet gyorsan frissíteni, a támadás ellenére letölti a Dropbox mobil verzióját, amely "kihasználja a kizsákmányolást" - írta az IBM.
A legfrissebb hírek a legújabb információk a legújabb technológia kínai hírességek IPA letöltése a titkosság elleni küzdelem.
A titkosítást legyőzni próbáló kormányok és az egyre erőteljesebb adatvédelmi eszközöket igénylő felhasználók közötti konfliktus fegyverkezési versenygé vált - és ideje fegyverzetellenőrzési tárgyalásokra, a Microsoft általános tanácsadója kedden elmondta.
A legfrissebb hírek a legújabb információk a legújabb technológia kínai hírességek IPA letöltése
A legfrissebb hírek a legújabb információk a legújabb technológia kínai hírességek IPA letöltése