Разработчики приложений для Android должны обновиться до последнего SDK Dropbox

Приложения для Android которые используют Dropbox для хранения и построены с использованием старой версии SDK, уязвимы для атаки, которая может украсть данные, хотя Dropbox выпустил исправление, согласно исследователям безопасности IBM.

Исследовательская группа IBM по безопасности приложений заявила, что в среду они нашел способ связать свою собственную учетную запись Dropbox с Android-приложением на телефоне другого человека, который подключается к службе хранения. После успешной атаки любые данные, загруженные приложением, доставляются в учетную запись Dropbox злоумышленника.

Dropbox публикует SDK (комплект для разработки программного обеспечения) для связывания своего сервиса с приложением. Недостаток, получивший прозвище «DroppedIn», повлиял на версии Dropbox SDK с 1.5.4 до 1.6.1 и был исправлен в версии 1.62, говорится в сообщении IBM в сообщении в блоге.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с ОС Windows]

Атака, хотя и серьезная, выполнить непросто. Он также не будет работать, если у человека есть собственное мобильное приложение Dropbox, установленное на их телефоне, и оно не даст злоумышленнику доступа к полному содержимому учетной записи Dropbox.

Dropbox сказал, что проблема не кажется были использованы хакерами для доступа к данным и что большинство популярных приложений, использующих его SDK, были исправлены.

Злоумышленник должен сначала получить токен доступа для приложения с поддержкой Dropbox, что может быть выполнено путем загрузки приложения и авторизации это для их собственной учетной записи Dropbox.

Затем злоумышленник должен заманить кого-то на веб-сайт или веб-страницу с помощью вредоносного кода. Код захватывает с телефона жертвы большой криптографический номер, известный как «nonce», который используется как часть процесса аутентификации для привязки учетной записи. С кодом доступа и бездействием злоумышленник может связать свою собственную учетную запись Dropbox с Android-приложением жертвы.

Один из способов, которым пользователи могут определить, были ли они атакованы, - это войти в Dropbox с помощью ПК и проверить, есть ли файлы которые должны были быть сохранены мобильным приложением с помощью Dropbox, которых нет, пишет IBM. Он сказал, что не так много приложений для Android, которые используют SDK Dropbox, но несколько популярных из них, в том числе Microsoft Office Mobile и 1Password от AgileBits.

Поскольку некоторые затронутые Android-приложения могут не обновляться быстро, лучший способ защитить против атаки - загрузить мобильную версию Dropbox, которая «делает невозможной эксплуатацию», пишет IBM.