Entwickler von Android-Apps sollten auf das neueste SDK von Dropbox aktualisieren

Android-Apps Die Verwendung von Dropbox für Speicher und die Verwendung einer älteren Version des SDK sind anfällig für einen Angriff, der Daten stehlen kann, obwohl Dropbox eine Lösung veröffentlicht hat, so IBM-Sicherheitsforscher.

Das Application Security Research-Team von IBM gab bekannt haben eine Möglichkeit gefunden, ihr eigenes Dropbox-Konto mit einer Android-App auf dem Telefon einer anderen Person zu verknüpfen, die eine Verbindung zum Speicherdienst herstellt. Nach einem erfolgreichen Angriff werden alle von der App hochgeladenen Daten an das Dropbox-Konto des Angreifers übermittelt.

Dropbox veröffentlicht ein SDK (Software Development Kit), um seinen Dienst mit einer App zu verknüpfen. Der Fehler mit dem Spitznamen "DroppedIn" hatte Auswirkungen auf die Dropbox SDK-Versionen 1.5.4 bis 1.6.1 und wurde in Version 1.62 behoben, so IBM in einem Blogbeitrag.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Der Ernstfall ist nicht einfach auszuführen. Es wird auch nicht funktionieren, wenn eine Person die eigene mobile App von Dropbox auf ihrem Telefon installiert hat und sie einem Angreifer keinen Zugriff auf den gesamten Inhalt eines Dropbox-Kontos gibt.

Dropbox hat gesagt, das Problem scheint nicht zu haben von Hackern ausgenutzt, um auf Daten zuzugreifen, und dass die meisten der beliebten Apps, die das SDK verwenden, gepatcht wurden.

Ein Angreifer muss zuerst ein Zugriffstoken für eine Dropbox-fähige App erhalten, was durch Herunterladen der App und Autorisierung erfolgen kann es für einen eigenen Dropbox-Account.

Der Angreifer muss dann jemanden auf eine Webseite oder Webseite mit bösartigem Code locken. Der Code erhält vom Telefon des Opfers eine große kryptografische Nummer, die als "Nonce" bekannt ist und im Rahmen des Authentifizierungsprozesses verwendet wird, um ein Konto zu verknüpfen. Mit dem Zugriffscode und der Nonce kann der Angreifer sein eigenes Dropbox-Konto mit der Android-App des Opfers verknüpfen.

Eine Möglichkeit für Benutzer, anzugreifen, besteht darin, sich über einen PC bei Dropbox anzumelden und zu prüfen, ob Dateien vorhanden sind das hätte von einer mobilen App mit Dropbox gespeichert werden sollen, die es nicht gibt, schrieb IBM. Es sagte, es gibt nicht viele Android-Apps, die Dropbox SDK verwenden, aber ein paar beliebte, einschließlich Microsoft Office Mobile und AgileBits 1Password.

Da einige betroffene Android-Apps möglicherweise nicht schnell aktualisiert werden, ist der beste Weg zu verteidigen Gegen den Angriff soll die mobile Version von Dropbox heruntergeladen werden, die "eine Ausnutzung unmöglich macht", schrieb IBM.