CTI論壇(ctiforum)3月13日消息（記者 李文杰): IBM旗下的X-Force應(yīng)用程式安全研究團(tuán)隊(duì)（Application Security Research Team）周三（3/11）揭露了Dropbox SDK for Android的一個(gè)安全漏洞，該漏洞允許駭客把整合Dropbox服務(wù)的移動(dòng)應(yīng)用程式連至由駭客掌控的Dropbox帳號(hào)，因而可竊取使用者自該程式上傳至Dropbox的資料。

　　Dropbox SDK for Android是Dropbox提供給Android開發(fā)人員的軟件開發(fā)套件，以讓Android開發(fā)人員能打造支持或整合Dropbox的Android移動(dòng)程式。為了要讓第三方程式具備Dropbox的存取權(quán)限，相關(guān)SDK使用OAuth協(xié)定，通過產(chǎn)生令牌（token）的授權(quán)模式取代直接透露使用者的帳號(hào)及密碼給第三方程式。

　　該安全團(tuán)隊(duì)負(fù)責(zé)人Roee Hay表示，此一編號(hào)為CVE-2014-8889的漏洞允許駭客在Dropbox SDK中注入任何的存取令牌，代表駭客能夠改變基于該SDK的移動(dòng)程式所連結(jié)的Dropbox帳號(hào)。

　　IBM嘗試通過該漏洞攻擊密碼管理程式1Password，1Password使用了Dropbox SDK來與Dropbox同步使用者的金鑰儲(chǔ)存庫，并成功將使用者的金鑰儲(chǔ)存庫傳遞至指定的Dropbox帳號(hào)。最新版的1Password已解決此問題。

　　倘若使用者的移動(dòng)裝置安裝的是獨(dú)立的Dropbox程式，即可避免受到該漏洞的影響。

　　此一漏洞影響Dropbox SDK for Android 1.5.4~1.6.1，而Dropbox已釋出Dropbox SDK for Android 1.6.2來修補(bǔ)該漏洞。

　　Hay指出，他們向Dropbox提報(bào)該漏洞的6分鐘內(nèi)便得到了回應(yīng)，且Dropbox于24小時(shí)內(nèi)即確認(rèn)漏洞，并在4天內(nèi)修補(bǔ)完成，為該團(tuán)隊(duì)所見過回應(yīng)最快的案例之一。

　　Dropbox早在去年12月便已修補(bǔ)該漏洞，受波及的移動(dòng)程式也應(yīng)陸續(xù)更新完畢。Dropbox表示，此一漏洞僅允許駭客利用受影響的移動(dòng)程式存取傳至Dropbox的新資料，而無法存取使用者在Dropbox上既存的資料，且迄今并無傳出任何災(zāi)情。