Dziura w SDK Dropboksa pozwala na przechwycenie danych użytkownika

SDK Dropboksa ma sporą lukę, którą można wykorzystać do przechwycenia synchronizowanych danych. Co ważne, błąd nie dotyczy tylko i wyłącznie samej aplikacji popularnej chmury, ale także wielu innych appek, które korzystają z synchronizowania plików przez Dropboksa. Na liście zagrożonych programów znajduje się wiele znanych aplikacji. Dlatego też, jeśli tylko jest dostępna ich aktualizacja, to natychmiast powinniście ją przeprowadzić.

O błędzie w SDK Dropboksa poinformował serwis Niebezpiecznik.pl. Dowiadujemy się, że SDK usługi w wersjach od 1.5.4 do 1.6.1 zawiera poważny błąd, dzięki któremu można przechwycić synchronizowane dane i przesłać je na inne konto. W tym celu wystarczy tylko przekierować użytkownika na odpowiednio spreparowaną stronę internetową. Po tym, jeśli będziemy chcieli wysłać pliki na Dropboska, to owszem zrobimy to, ale nie na swoje konto.

Z synchronizacji z Dropboksem korzystają takie aplikacje, jak chociażby Office Mobile czy też 1Password. Pocieszeniem jest to, iż ataku nie uda się przeprowadzić, jeśli na urządzeniu ofiary jest zainstalowana aplikacja Dropboksa. Poza tym w wersji 1.6.2 SDK usterka została już naprawiona i ataku nie da się już przeprowadzić.

Nie zmienia to jednak faktu, że jeśli korzystacie z synchronizacji Dropboksa w jakiejś aplikacji, a jednocześnie nie macie na telefonie appki popularnej chmury, to możecie być narażeni na wyciek danych. Jeśli nie macie w zwyczaju aktualizować aplikacji mobilnych, to lepiej zacznijcie, bo właśnie mogą się wydarzyć takie rzeczy.

źródło: Security Intelligence