Szerző: Hlács Ferenc

2015. március 11. 15:15:00

Biztonsági hibát javított a Dropbox

Frissítette androidos SDK-ját a Drobpox, ezzel befoltozva egy, a harmadik féltől származó appokat sújtó biztonsági rést. A sebezhetőséget kihasználva illetéktelenek is hozzáférhettek az alkalmazások által az online tárhelyre mentett adatokhoz.

Biztonsági rést foltozott be androidos fejlesztőcsomagjában a Dropbox. A sebezhetőség lehetővé tette a potenciális támadók számára, hogy egyes harmadik féltől származó alkalmazásokon keresztül hozzáférjenek a felhasználók online őrzött adataihoz. Eddig nem érkezett hír egyetlen esetről sem, mikor kihasználták volna a nemrég kijavított sebezhetőséget.

A hiba kiaknázásához több feltételnek is teljesülnie kellett: egy olyan androidos eszközre volt hozzá szükség, amelyen telepítve van valamelyik, a biztonsági hibát tartalmazó SDK-t használó alkalmazás, a hivatalos Dropbox app viszont nincs. Egy ilyen készülékről egy támadók által létrehozott weboldalt meglátogatva volt kihasználható a biztonsági rés, amelyen keresztül azok saját Dropbox fiókjukat is hozzákapcsolhatták a szóban forgó, harmadik féltől származó apphoz. Innentől fogva a felhasználó által a tárhelyre mentett új adatokhoz már az illetéktelenek behatolók is hozzáférhetnek.

Machine learning és Scrum alapozó képzések indulnak! (x) A HWSW októberben induló gyakorlatorientált, 10 alkalmas, 30 órás online képzéseire most early bird kedvezménnyel lehet regisztrálni!

A vállalat szerint ugyanakkor sok app esetében további kritériumok is szükségesek voltak a biztonsági rés sikeres kihasználásához, a hiba továbbá nem engedett hozzáférést a felhasználók korábban, illetve más forrásból eltárolt fájljaihoz - emellett azok sem voltak veszélyeben, akik készülékén a Dropbox alkalmazás telepítve volt.

A legismertebb veszélyeztetett app a Microsoft Office Mobile volt, amely felhasználóinak több mint 35 milliárd fájlát tárolja a Dropbox tárhelyén, de több jelszókezelő app is akad, amely a sebezhető SDK-t használja. Bár mint a fentiekből látszik, meglehetősen kicsi rá az esély, hogy a hiba bárkinek is kellemetlenséget okozzon, az online tárhelyszolgáltató mindenkinek azt javasolja, amilyen hamar csak lehet, frissítse a szóban forgó fejlesztőcsomagot. A biztonsági résre egyébként az IBM X-Force Application Security Research csapata hívta fel a cég figyelmét, amelyért az blogposztjában köszönetet is mondott a szakértőknek. A vállalat a javítást nem húzta sokáig: az IBM felé alig hat percen belül jelezte, hogy tudomásul vette a problémát, négy nappal később pedig ki is adta az azt orvosló frissítést.

a címlapról