Дефект SDK Dropbox мог позволить атакующим перенаправлять данные

dropbox

Сторонние приложения для Android, которые применяют набор разработчика ПО Dropbox, может быть, разрешили атакующему перенаправлять каждые сохраненные данные в разную учетную запись Dropbox.Из сорок один приложения, протестированного как часть начального изучения IBM неприятности, семьдесят шесть процентов были уязвимы для нападения. Dropbox устранил проблему в декабре с ее SDK для версии 1.62 Android, но компании сходу не раскрыли проблему, чтобы дать больше времени сторонним разработчикам для обновления их ПО с новым SDK.«Новая идея пребывает в том, что Вы травите конечного пользователя для перемещения в сайт жулика, что смешивает с намерениями Android и заставляет цепь событий происходить, что переключает устройство хранения данных с того, чтобы быть учетной записью Dropbox жертвы в учетную запись Dropbox атакующего», сообщил Калеб Барлоу, вице-президент безопасности и мобильного управления для IBM, eWEEK.

Dropbox классифицировал проблему как «малого» уязвимость совокупности обеспечения безопасности, отметив, что пользователи Android лишь были бы уязвимы, если бы три условия были истиной: приложение, предназначенное атакующими, устанавливается на устройстве пользователя, приложение Dropbox не устанавливается, и пользователь посетил злонамеренную веб-страницу либо установил вредоносное приложение.Недостаток экс-фильтрации, названный DroppedIn IBM, версией 1.5.4 влияния и позднее SDK Dropbox, и могли быть использованы злонамеренным Веб-сайтом либо приложением, установленным по смартфону жертвы.

Эксплуатация уязвимости расцепила бы предназначенное стороннее приложение из учетной записи Dropbox жертвы и соединила бы приложение с учетной записью атакующего. Тогда как атакующий не взял бы доступ к файлам, хранившим на серверах Dropbox, каждые эти, которые жертва собиралась сохранить от целевого приложения до их учетной записи Dropbox, будут скопированы в учетную запись атакующего вместо этого.

Наступление применяет слабость в том, как набор разработчика ПО обработал «намерения», конструкция программирования Android, которая разрешает соединять одно приложение с другими.Самый несложный метод для пользователей обезопасисть себя пребывает в том, чтобы установить клиент Dropbox на их мобильном устройстве.

Когда фактическое приложение Dropbox устанавливается, стороннее ПО будет применять клиент для соединения с учетной записью Dropbox пользователя, иммунизируя их против нападения.Уязвимость в наборе разработчика ПО (SDK), что разрешает сторонним приложениям Android сохранять данные в учетную запись пользователя Dropbox, может быть, разрешила атакующим перенаправлять данные в другую учетную запись, IBM заявил в анализе неприятности, опубликованной одиннадцать марта.IBM уведомил Dropbox неприятности в декабре и советовал компанию на ее ответе.

Обслуживание «облачного» хранилища реагировало на начальное сообщение о недостатке в течение шести минут, подтвердило проблему в течение двадцать четыре часов и выпустило патч в течение четырех дней после того, чтобы быть уведомленным относительно уязвимости. «Это было одним из самого стремительного времени отклика, которое Работа безопасности IBM видела в ее продолжительной истории изучения уязвимости», компания заявила.«Разработчики мобильных приложений должны войти в приложения и обновить их, и их клиенты должны установить обновленное приложение по их телефонам», сообщил Барлоу.«Нет никаких отчетов либо доказательства, чтобы указать, что уязвимость когда-либо привыкла к данным пользователя доступа», компания заявила посланный в eWEEK.

«Конечные пользователи должны обновить собственные приложения к последним предположениям и установить приложение Dropbox, которое делает эксплуатацию неосуществимой», заявил IBM в его анализе.


TCNMS.RU