Маша и Медведь (Masha and The Bear) - Маша плюс каша (17 Серия)
Приложения для Android которые используют Dropbox для хранения и построены с использованием старой версии SDK, уязвимы для атаки, которая может украсть данные, хотя Dropbox выпустил исправление, согласно исследователям безопасности IBM.
Исследовательская группа IBM по безопасности приложений заявила, что в среду они нашел способ связать свою собственную учетную запись Dropbox с Android-приложением на телефоне другого человека, который подключается к службе хранения. После успешной атаки любые данные, загруженные приложением, доставляются в учетную запись Dropbox злоумышленника.
Dropbox публикует SDK (комплект для разработки программного обеспечения) для связывания своего сервиса с приложением. Недостаток, получивший прозвище «DroppedIn», повлиял на версии Dropbox SDK с 1.5.4 до 1.6.1 и был исправлен в версии 1.62, говорится в сообщении IBM в сообщении в блоге.
[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с ОС Windows]Атака, хотя и серьезная, выполнить непросто. Он также не будет работать, если у человека есть собственное мобильное приложение Dropbox, установленное на их телефоне, и оно не даст злоумышленнику доступа к полному содержимому учетной записи Dropbox.
Dropbox сказал, что проблема не кажется были использованы хакерами для доступа к данным и что большинство популярных приложений, использующих его SDK, были исправлены.
Злоумышленник должен сначала получить токен доступа для приложения с поддержкой Dropbox, что может быть выполнено путем загрузки приложения и авторизации это для их собственной учетной записи Dropbox.
Затем злоумышленник должен заманить кого-то на веб-сайт или веб-страницу с помощью вредоносного кода. Код захватывает с телефона жертвы большой криптографический номер, известный как «nonce», который используется как часть процесса аутентификации для привязки учетной записи. С кодом доступа и бездействием злоумышленник может связать свою собственную учетную запись Dropbox с Android-приложением жертвы.
Один из способов, которым пользователи могут определить, были ли они атакованы, - это войти в Dropbox с помощью ПК и проверить, есть ли файлы которые должны были быть сохранены мобильным приложением с помощью Dropbox, которых нет, пишет IBM. Он сказал, что не так много приложений для Android, которые используют SDK Dropbox, но несколько популярных из них, в том числе Microsoft Office Mobile и 1Password от AgileBits.
Поскольку некоторые затронутые Android-приложения могут не обновляться быстро, лучший способ защитить против атаки - загрузить мобильную версию Dropbox, которая «делает невозможной эксплуатацию», пишет IBM.
Разработчики приложений для Android должны обновиться до последнего SDK Dropbox
. Уязвимость позволяет загружать ваши файлы Dropbox в чужую учетную запись
Китайские разработчики злоупотребляют бесплатными сертификатами тестирования приложений Apple для установки пиратских приложений
Недавно появившееся китайское приложение iOS в официальном магазине Apple содержало скрытая функциональность, которая позволяла пользователям устанавливать пиратские приложения на устройствах, не связанных с джейлбрейком, метод, который в будущем также может быть использован вредоносными программами.