CTI論壇(ctiforum)3月13日消息(記者 李文杰): IBM旗下的X-Force應用程式安全研究團隊(Application Security Research Team)周三(3/11)揭露了Dropbox SDK for Android的一個(gè)安全漏洞,該漏洞允許駭客把整合Dropbox服務(wù)的移動(dòng)應用程式連至由駭客掌控的Dropbox帳號,因而可竊取使用者自該程式上傳至Dropbox的資料。
Dropbox SDK for Android是Dropbox提供給Android開(kāi)發(fā)人員的軟件開(kāi)發(fā)套件,以讓Android開(kāi)發(fā)人員能打造支持或整合Dropbox的Android移動(dòng)程式。為了要讓第三方程式具備Dropbox的存取權限,相關(guān)SDK使用OAuth協(xié)定,通過(guò)產(chǎn)生令牌(token)的授權模式取代直接透露使用者的帳號及密碼給第三方程式。
該安全團隊負責人Roee Hay表示,此一編號為CVE-2014-8889的漏洞允許駭客在Dropbox SDK中注入任何的存取令牌,代表駭客能夠改變基于該SDK的移動(dòng)程式所連結的Dropbox帳號。
IBM嘗試通過(guò)該漏洞攻擊密碼管理程式1Password,1Password使用了Dropbox SDK來(lái)與Dropbox同步使用者的金鑰儲存庫,并成功將使用者的金鑰儲存庫傳遞至指定的Dropbox帳號。最新版的1Password已解決此問(wèn)題。
倘若使用者的移動(dòng)裝置安裝的是獨立的Dropbox程式,即可避免受到該漏洞的影響。
此一漏洞影響Dropbox SDK for Android 1.5.4~1.6.1,而Dropbox已釋出Dropbox SDK for Android 1.6.2來(lái)修補該漏洞。
Hay指出,他們向Dropbox提報該漏洞的6分鐘內便得到了回應,且Dropbox于24小時(shí)內即確認漏洞,并在4天內修補完成,為該團隊所見(jiàn)過(guò)回應最快的案例之一。
Dropbox早在去年12月便已修補該漏洞,受波及的移動(dòng)程式也應陸續更新完畢。Dropbox表示,此一漏洞僅允許駭客利用受影響的移動(dòng)程式存取傳至Dropbox的新資料,而無(wú)法存取使用者在Dropbox上既存的資料,且迄今并無(wú)傳出任何災情。
