Szerző: Hlács Ferenc

2015. március 11. 15:15

Biztonsági hibát javított a Dropbox

Frissítette androidos SDK-ját a Drobpox, ezzel befoltozva egy, a harmadik féltől származó appokat sújtó biztonsági rést. A sebezhetőséget kihasználva illetéktelenek is hozzáférhettek az alkalmazások által az online tárhelyre mentett adatokhoz.

Biztonsági rést foltozott be androidos fejlesztőcsomagjában a Dropbox. A sebezhetőség lehetővé tette a potenciális támadók számára, hogy egyes harmadik féltől származó alkalmazásokon keresztül hozzáférjenek a felhasználók online őrzött adataihoz. Eddig nem érkezett hír egyetlen esetről sem, mikor kihasználták volna a nemrég kijavított sebezhetőséget.

A hiba kiaknázásához több feltételnek is teljesülnie kellett: egy olyan androidos eszközre volt hozzá szükség, amelyen telepítve van valamelyik, a biztonsági hibát tartalmazó SDK-t használó alkalmazás, a hivatalos Dropbox app viszont nincs. Egy ilyen készülékről egy támadók által létrehozott weboldalt meglátogatva volt kihasználható a biztonsági rés, amelyen keresztül azok saját Dropbox fiókjukat is hozzákapcsolhatták a szóban forgó, harmadik féltől származó apphoz. Innentől fogva a felhasználó által a tárhelyre mentett új adatokhoz már az illetéktelenek behatolók is hozzáférhetnek.

Toxikus vezetők szivárványa

Az IT munkakörülményeket, a munkahelyi kultúrát alapjaiban határozzák meg a vezetők, főleg ha még toxikusak is.

Toxikus vezetők szivárványa Az IT munkakörülményeket, a munkahelyi kultúrát alapjaiban határozzák meg a vezetők, főleg ha még toxikusak is.

A vállalat szerint ugyanakkor sok app esetében további kritériumok is szükségesek voltak a biztonsági rés sikeres kihasználásához, a hiba továbbá nem engedett hozzáférést a felhasználók korábban, illetve más forrásból eltárolt fájljaihoz - emellett azok sem voltak veszélyeben, akik készülékén a Dropbox alkalmazás telepítve volt.

A legismertebb veszélyeztetett app a Microsoft Office Mobile volt, amely felhasználóinak több mint 35 milliárd fájlát tárolja a Dropbox tárhelyén, de több jelszókezelő app is akad, amely a sebezhető SDK-t használja. Bár mint a fentiekből látszik, meglehetősen kicsi rá az esély, hogy a hiba bárkinek is kellemetlenséget okozzon, az online tárhelyszolgáltató mindenkinek azt javasolja, amilyen hamar csak lehet, frissítse a szóban forgó fejlesztőcsomagot. A biztonsági résre egyébként az IBM X-Force Application Security Research csapata hívta fel a cég figyelmét, amelyért az blogposztjában köszönetet is mondott a szakértőknek. A vállalat a javítást nem húzta sokáig: az IBM felé alig hat percen belül jelezte, hogy tudomásul vette a problémát, négy nappal később pedig ki is adta az azt orvosló frissítést.

Nagyon széles az a skála, amin az állásinterjú visszajelzések tartalmi minősége mozog: túl rövid, túl hosszú, semmitmondó, értelmetlen vagy semmi. A friss heti kraftie hírlevélben ezt jártuk körül. Ha tetszett a cikk, iratkozz fel, és minden héten elküldjük emailben a legfrissebbet!

a címlapról