CTI论坛(ctiforum)3月13日消息(记者 李文杰): IBM旗下的X-Force应用程式安全研究团队(Application Security Research Team)周三(3/11)揭露了Dropbox SDK for Android的一个安全漏洞,该漏洞允许骇客把整合Dropbox服务的移动应用程式连至由骇客掌控的Dropbox帐号,因而可窃取使用者自该程式上传至Dropbox的资料。
Dropbox SDK for Android是Dropbox提供给Android开发人员的软件开发套件,以让Android开发人员能打造支持或整合Dropbox的Android移动程式。为了要让第三方程式具备Dropbox的存取权限,相关SDK使用OAuth协定,通过产生令牌(token)的授权模式取代直接透露使用者的帐号及密码给第三方程式。
该安全团队负责人Roee Hay表示,此一编号为CVE-2014-8889的漏洞允许骇客在Dropbox SDK中注入任何的存取令牌,代表骇客能够改变基于该SDK的移动程式所连结的Dropbox帐号。
IBM尝试通过该漏洞攻击密码管理程式1Password,1Password使用了Dropbox SDK来与Dropbox同步使用者的金钥储存库,并成功将使用者的金钥储存库传递至指定的Dropbox帐号。最新版的1Password已解决此问题。
倘若使用者的移动装置安装的是独立的Dropbox程式,即可避免受到该漏洞的影响。
此一漏洞影响Dropbox SDK for Android 1.5.4~1.6.1,而Dropbox已释出Dropbox SDK for Android 1.6.2来修补该漏洞。
Hay指出,他们向Dropbox提报该漏洞的6分钟内便得到了回应,且Dropbox于24小时内即确认漏洞,并在4天内修补完成,为该团队所见过回应最快的案例之一。
Dropbox早在去年12月便已修补该漏洞,受波及的移动程式也应陆续更新完毕。Dropbox表示,此一漏洞仅允许骇客利用受影响的移动程式存取传至Dropbox的新资料,而无法存取使用者在Dropbox上既存的资料,且迄今并无传出任何灾情。
