Subiektywnie o…

Dropbox: dziura w SDK pozwala wysyłać pliki na inne konto

Dropbox, serwis pozwalający przechowywać nasze pliki w modnej ostatnio chmurze oraz pozwalający synchronizować je pomiędzy różnymi urządzeniami ostatnimi czasy ma problemy. Niedawno odkryto dość poważny błąd w SDK Dropboxa, który pozwala na podmianę naszego konta na inne, a co za tym idzie wszystkie nasze pliki mogą zostać wysłane na zupełnie inne konto. Problem jest o tyle poważny, że wadliwy kod wykorzystywany jest przez wiele aplikacji pozwalających na wysłanie plików dna nasze konto Dropbox np: 1Password czy też Microsoft Office Mobile.
Błąd jest poważny ale aby taki atak był możliwy ofiara musi spełnić poniższe warunki:

  • - trzeba na niej wymusić skojarzenie którejś z androidowej [1] aplikacji mobilnej pozwalającej wysyłać pliki ma nasze konto w Dropboxie wykorzystującej SDK Dropboksa z fałszywym kontem;
  • - na telefonie/tablecie nie można mieć zainstalowanej oryginalnej aplikacji oferowanej przez Dropboxa;
  • - aplikacja mobilna musi wykorzystywać SDK w wersji od 1.5.4 do 1.6.1


Więc jak widać są to dość szczegółowe warunki zwłaszcza, że nie wyobrażam sobie że jeśli ktoś posiada konto w Dropboxie nie posiada zainstalowanej oficjalnej aplikacji. Mimo, że błąd jest dość poważny bo nasze pliki mogą zostać wysłane na inne konto to w zasadzie ofiara dość szybko zorientuje się, że coś jest nie tak. Błąd został odkryty przez Roee Hay oraz Or Peles z IBM Security Systems i został zgłoszony Dropboksowi na w grudniu 2014. Po 4 dniach Dropbox wypuścił nową wersję SDK, niepodatną na ten atak (1.6.2). Miejmy tylko nadzieję, że developerzy już zaktualizowali swoje aplikacje.

A poniżej film pokazujący jak wygląda taki atak

  1. 1. wygląda na to, że problem nie dotyczy aplikacji instalowanych na iOS