Android应用程序根据IBM安全研究人员的说法,虽然Dropbox已经发布了一个修复程序,但使用Dropbox存储并使用其较早版本的SDK构建的应用程序安全研究团队很容易受到可能窃取数据的攻击的威胁。找到了一种方法将他们自己的Dropbox帐户链接到连接到存储服务的另一个人的手机上的Android应用程序。攻击成功后,应用程序上传的任何数据都会传送到攻击者的Dropbox帐户。
Dropbox发布一个SDK(软件开发工具包),用于将其服务链接到应用程序。这个绰号为“DroppedIn”的漏洞影响了Dropbox SDK版本1.5.4到1.6.1,并在1.62版本中修复,IBM在一篇博客文章中表示。<进一步阅读:如何从Windows PC中删除恶意软件
这次攻击虽然严重,但并不容易实施。如果有人在手机上安装Dropbox自己的移动应用程序,它也不会工作,并且不会让攻击者访问Dropbox帐户的全部内容。
Dropbox表示此问题似乎没有被黑客利用来访问数据,并且大多数使用其SDK的流行应用程序已被修补。攻击者必须首先获得支持Dropbox的应用程序的访问令牌,这可以通过下载应用程序和授权它用于他们自己的Dropbox帐户。
攻击者必须引诱某人访问带有恶意代码的网站或网页。该代码从受害者的手机中获取一个大的加密号码,称为“随机数”,用作身份验证过程的一部分来链接一个账户。使用访问码和随机数,攻击者可以将他们自己的Dropbox帐户链接到受害者的Android应用程序。
用户可以判断他们是否受到攻击的一种方法是使用PC登录到Dropbox并检查是否存在文件本应该已经被使用Dropbox的移动应用程序保存了,IBM写道。它表示,使用Dropbox的SDK的Android应用程序并不多,但有一些流行的应用程序,包括微软的Office Mobile和AgileBits的1Password。
由于一些受影响的Android应用程序可能无法快速更新,所以最好的捍卫方式反对这种攻击的方式是下载Dropbox的移动版本,“这使得开发变得不可能,”IBM写道,
