Plato's Definitions and Epigrams / Πλάτωνος á½?Ï?οι καὶ ἘπιγÏ?άμματα
. βρήκαν έναν τρόπο να συνδέσουν τον δικό τους λογαριασμό Dropbox με μια εφαρμογή Android στο τηλέφωνο άλλου προσώπου που συνδέεται με την υπηρεσία αποθήκευσης. Μετά από μια επιτυχημένη επίθεση, τα δεδομένα που φορτώθηκαν από την εφαρμογή παραδίδονται στο λογαριασμό Dropbox του εισβολέα.
Η Dropbox εκδίδει ένα κιτ ανάπτυξης λογισμικού (SDK) για τη σύνδεση της υπηρεσίας με μια εφαρμογή. Το ελάττωμα, με το ψευδώνυμο "DroppedIn", επηρέασε τις εκδόσεις 1.5.4 έως 1.6.1 του Dropbox SDK και ήταν διορθωμένο στην έκδοση 1.62, η IBM είπε σε μια θέση στο blog.
[Περαιτέρω ανάγνωση: Πώς να αφαιρέσετε τα κακόβουλα προγράμματα από τον υπολογιστή σας των Windows]
Η επίθεση, ενώ είναι σοβαρή, δεν είναι εύκολη. Επίσης, δεν θα λειτουργήσει αν ένα άτομο έχει εγκατεστημένη στο κινητό του εφαρμογή Dropbox για κινητά και δεν θα δώσει πρόσβαση εισβολέα στο πλήρες περιεχόμενο ενός λογαριασμού Dropbox.Το Dropbox είπε ότι το πρόβλημα δεν φαίνεται να έχει έχει χρησιμοποιηθεί από τους hackers για την πρόσβαση σε δεδομένα και ότι οι περισσότερες από τις δημοφιλείς εφαρμογές που χρησιμοποιούν το SDK έχουν επιδιορθωθεί
Ένας εισβολέας πρέπει πρώτα να αποκτήσει ένα αναγνωριστικό πρόσβασης για μια εφαρμογή με δυνατότητα Dropbox, η οποία μπορεί να γίνει με τη λήψη της εφαρμογής και την εξουσιοδότηση για τον δικό τους λογαριασμό Dropbox.
Ο εισβολέας πρέπει να προσελκύσει κάποιον σε έναν ιστότοπο ή ιστοσελίδα με κακόβουλο κώδικα. Ο κώδικας συλλαμβάνει από το τηλέφωνο του θύματος έναν μεγάλο κρυπτογραφικό αριθμό, γνωστό ως "nonce", ο οποίος χρησιμοποιείται ως μέρος της διαδικασίας επαλήθευσης ταυτότητας για τη σύνδεση ενός λογαριασμού. Με τον κωδικό πρόσβασης και το nonce, ο επιτιθέμενος μπορεί να συνδέσει το δικό του λογαριασμό Dropbox με την εφαρμογή Android του θύτη.
Ένας τρόπος για να εντοπίσει κάποιος εάν έχει επιτεθεί είναι να συνδεθεί στο Dropbox χρησιμοποιώντας έναν υπολογιστή και να ελέγξει αν υπάρχουν αρχεία που θα έπρεπε να έχουν αποθηκευτεί από μια εφαρμογή για κινητά χρησιμοποιώντας Dropbox που δεν υπάρχουν, έγραψε η IBM. Είπε ότι δεν υπάρχουν πολλές εφαρμογές Android που χρησιμοποιούν SDK του Dropbox, αλλά μερικές δημοφιλείς, όπως το Microsoft Office Mobile και AgileBits '1Password.
Καθώς ορισμένες εφαρμογές Android που επηρεάζονται ενδέχεται να μην ενημερώνονται γρήγορα, ο καλύτερος τρόπος για να υπερασπιστείτε κατά της επίθεσης είναι να κατεβάσετε την έκδοση κινητού τηλεφώνου του Dropbox, η οποία "καθιστά την εκμετάλλευση αδύνατη", έγραψε η IBM
Το Facebook ξεκινά ένα κατάστημα εφαρμογών που ονομάζεται Κέντρο Εφαρμογών, το οποίο θα παρουσιάσει εφαρμογές που υπάρχουν στην πλατφόρμα του ιστότοπου κοινωνικής δικτύωσης και στις εφαρμογές που συνδέονται στην τοποθεσία χρησιμοποιώντας μια σύνδεση στο Facebook. Το κατάστημα θα είναι προσβάσιμο από τον Ιστό και τις εφαρμογές iOS και Android του Facebook και θα είναι διαθέσιμο "στις ερχόμενες εβδομάδες", σύμφωνα με μια ανακοίνωση στο ιστολόγιο του ιστοτόπου.
Σχεδόν κάθε πλατφόρμα έχει ένα κατάστημα εφαρμογών αυτές τις μέρες, είτε είναι κινητό (IOS, Android, BlackBerry, Windows Phone) είτε όχι (Mac OS X, Windows 8). Γιατί, λοιπόν, το Facebook δεν έχει επίσης ένα; Μετά από όλα, οι χρήστες χρησιμοποιούν το Farmville και άλλες εφαρμογές στο Facebook και εφαρμογές που συνδέονται με την υπηρεσία κοινωνικής δικτύωσης (όπως το Spotify και το Pinterest).
Οι προγραμματιστές εφαρμογών Android θα πρέπει να ενημερώνονται στο τελευταίο SDK του Dropbox
Ένα θέμα ευπάθειας θα μπορούσε να επιτρέψει τη μεταφόρτωση των αρχείων Dropbox στο λογαριασμό κάποιου άλλου < που χρησιμοποιούν το Dropbox για αποθήκευση και είναι κατασκευασμένα χρησιμοποιώντας μια παλαιότερη έκδοση του SDK, είναι ευάλωτα σε μια επίθεση που μπορεί να κλέψει δεδομένα, παρόλο που η Dropbox έχει κυκλοφορήσει μια επιδιόρθωση, σύμφωνα με τους ερευνητές ασφάλειας της IBM
